ai ád 





Motorola és a pingvin (lowend) 





A Motorola bejelentette, hogy befeje- 
zik a Razr (razor, magyarul borotva) 
fantázianevű készülék gyártását, és 
helyét a Linuxos Scpl (scalpel, magya- 
rul szike). A Motofone F3 Indiában 
már kapható. Noha alsó kategóriás te- 
lefon (50 dollár körüli áron lesz kapha- 
tó), mégis a kijelző a megszokott LCD 
helyett elektronikus papír, mellyel így 
hihetetlen készenléti (körülbelül 400 
óra) és beszélgetési (körülbelül 8 óra) 
idő érhető el. A telefonon MontaVista 
Linux fut. 
2 http:/www.linuxdevices.com/news/ 
N5S5567800205.html 


150 szabvány az OpenDocument 
ISO szabvánnyá nyilvánították az 
OpenDocumentet (ISO/IEC 26300). 
Ez a gyakorlatban annyit jelent, 
hogy jogdíj nélkül bárki implemen- 
tálhatja a szoftverében, legyen az 
zárt vagy nyílt forráskódú. 
Az OpenDocument az alábbi végző- 
déseket használja: .odt szöveges állo- 
mányhoz, .ods táblázatokhoz, .odp 
prezentációkhoz, .odg grafikához 
és .odf matematikai képletekhez. 
2 http:/en.wikipedia.org/wiki/ 
OpenDocument 





Motorola és a pingvin (highend) 
Linux iránt talán 
a Motorola az 
egyik legelkötele- 
zettebb gyártó. 
Mi sem bizonyítja, 
hogy E6 néven 
piacra dobott egy 
mobiltelefont, 
mely 2.4 hüvely- 
kes OVGA kijelző- 
vel (240x320) bír, 
kapott 2 mega- 
pixeles kamerát és 
2 gigabájtig bővít- 
hetjük SD kártyával. Helyet kapott 
benne Microsoft kompatibilis irodai 
csomag, illetve szinte bármilyen zenei 
formátumot lejátszik, melyet akár 
Bluetooth 
headseten is 
hallgathatunk. 
Üröm az öröm- 
ben: nincs ben- 
ne 3G, illetve nem négy, hanem 
csupán három sávos. Egyelőre csak 
Kínában kapható. 
2 http:/www.slashgear.com/ 
motorolas-sexy-linux-smartphone- 
052771.php 


4G próha már az idén 
A Telecom World 2006 kiállításon 
a Oualcomm felfedett pár részletet 
a 4G mobil adatátvitelről. Az UMB 
(Ultra Mobile Broadband) lehetővé 
fogja tenni akár a 280 megabiítes átvi- 
telt is. Ez azonban elméleti szám, 
kérdés, milyen lesz a való életben. 
Az persze már bizonyos, hogy 100 
megabites letöltés és 50 megabites 
feltöltés lesz a kitűzött cél a 3GPP-s 
hosszútávú terveknek megfelelően. 
2 http:/www.eetimes.com/rss/show 
Article.jhtml?articlel1D—196601876 


Mini mindenes 





A Neuros Audio 
bemutatta apró 
digitális videó 
rögzítőjét, az 
OSD-t (Open 
Source Device), 
amellyel felve- 
hetünk vagy 
lejátszhatunk 
videókat. Az eszköz maga nem tartal- 
maz háttértárat, azonban rendelkezé- 
sünkre áll számos kártyahely (CE 
Microdrive, SD/MMC, MemorysStick), 
illetve nem szabad megfeledkezni az 
USB háttértárakról, valamint a netes 
kapcsolat (NES, Samba) lehetőségéről 
sem. Az eszköz természetesen Linuxos 
és hardveresen rögzít MPEG4 formá- 
tumba. Lejátszáskor viszont nem jön 
zavarba xvid, asf vagy wmov formátum 
esetén sem. 
2 http:/www.linuxdevices.com/news/ 
N5S9045680371.html 
2 http:/www.linuxlookup.com/ 
review/neuros osd review 





Playstation3 támogatás a Linux 


kernelben 

A 2.6.20-as kernelverziótól már találunk 

egy ,PS3 console and other devices" pon- 

tot is kernel fordításkor. Ez azt jelenti, 

hogy minden IBM Cell processzorral 

szerelt eszköz használható lesz 

Linuxszal. A kódrészletet a Sony írta. 

2 http://osnews.com/story.php/16644/ 
Sony-Adds-PS3-Support-to-Linux- 
Kernel/ 


64 Studio 











Ez nem egy újabb 
hollywood-i stúdió ne- 
(A 1! ve, hanem egy Debian 
§ TU D) n alapú Linux disztribú- 
cióé, mely a hang és 
videó szerkesztésre lett kihegyezve. 
A rendszer alapját a Debian 64 bites 
(Amd és Intel is) verziója adja, de 
régebbi PC-kre elkészült a 32 bites 
változat is. 
Grafikus felületet a Gnome biztosít. 
2.6.17-es kernelét felkészítették 
valós idejű SMP-re is, így nem je- 
lenthet gondot a többprocesszoros 
számítógép sem. A CD-n helyet 
kaptak zenei (pl. Ardour, Hydrogen, 
Jamin, stb.) és videós alkalmazások, 
két és háromdimenziós grafikus al- 
kalmazások, webböngésző és irodai 
alkalmazás. 
A disztribúció egyelőre ftp és http 
protokollokon tölthető le. 
2 http://desktoplinux.com/news/ 
N5S5486057047.html 
2 http:/64studio.com/wiki/ 
DownloadAnlnstaller 





PostgreSOL 8.2 


Egy éves fejlesztői munka után végre 


megjelent a népszerű adatbázis-kezelő 


legfrissebb verziója, mely több mint 

200 újdonsággal és javítással kecsegtet. 

A gyakorlatban ez azt jelenti, hogy 

egyre inkább felzárkózik a kereskedel- 

mi adatbázis-kezelőkhöz. Az egyik 

legjelentősebb újítás a Warm Standby 

Databases, amely lehetővé teszi, hogy 

egy klaszteren belül legyen menté- 

sünk az adatbázisról. Mindezek 

mellett a teljesítmény is javult 10, 

bizonyos esetekben pedig akár 

20 százalékkal is. 

A PostgreSOL következő verziója 

(3.3) előreláthatóan 2007 nyarán 

jelenik meg. 

2 http:/wwwiinternetnews.com/ 
dev-news/article.php/3647376 





Metanol alapú tápellátás 

A Hitachi 2007-tól 
kezdi el gyártani 

a metanol alapú 
üzemanyag celláját, 
1. mellyel elsősorban 
kis energiaigényű mobil eszközöket 
(PDA, mobiltelefon) kívánnak táplálni. 
A készülék 10 ezer órás élettartammal 
bír, és négyzetcentiméterenként 100 mil- 
liwattot fog leadni. Attól persze nem 
kell félnünk, hogy megissza a kedvenc 
sörünket, hiszen abban etanol, míg az 
üzemanyagcellában metanol van. 

2 http:/www.idu.com/article7357.html 





Novell-Microsoft egyezmény 
Richard Stallman, a GPL atyja, a toki- 
ói GPL konferencián kijelentette, hogy 
a Novell-Microsoft megállapodás nem 
sérti a GPL 2-es verzióját. Az is kide- 
rült, hogy a 3-as verzió jelenlegi terve- 
zete sem szabna gátat az ilyen megál- 
lapodásnak, Stallman szerint azonban 
még nincs késő módosítani. 
2 http:/www.eweek.com/article2/ 
0,1759,2065479,00.asp 


Wizpy, a linuxos MP3 lejátszó 


A japán IurboLinux bemutatta 

a linuxos Wizpy-t, mely 4 gigabájtos 
tárhelyével lehet vonzó. Az eszköz az 
1.7 hüvelykes kijelzőjének köszönhető- 
en videót is lejátszhat a közismert 
hangformátumok (OGG, MP3, WMA, 
AAC) mellett, sőt rádióként és dikta- 
fonként is használhatjuk. Ezenkívül 

a Linuxnak köszönhetően szinte 
bármilyen alkalmazás telepíthető rá. 
Előreláthatóan 2007 februártól kerül 

a polcokra kb. 51 ezer forintos áron. 

2 http:/www.idu.com/article7177.html 


Firefox: Muszáj hamarosan frissíteni 
Jelenlegi tervek szerint a Mozilla 2007 
április 24-ig támogatja az 1.5-ös 
Firefoxot, tehát legkésőbb akkor min- 
denkinek ajánlják a váltást. A tervek 
között szerepel az 2007 végén megje- 
lenő Firefox 3.0 is. 
2 http:/www.pcadvisor.co.uk/news/ 
index.cím?RSSérnewsid— 7552 
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Akkreditált képző intézet 


LINUX 


(RedHat, Debian, Suse, Mandriva, ...) 


- Rendszergazda Alapok 
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- Vállalati levelezés megoldások 
- Biztonsági kérdések 

- OpenLDAP alapok 

- Samba-OpenLDAP-PDC 
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Előtérben a háttértárak 

A Toshiba 2007 elejétől szállítja leg- 
újabb, 100 gigabájtos merevlemezét. 

A dolog azért jelentős, mert ez a me- 
revlemez csupán 1.8 hüvelyk széles. 
Elsősorban hordozható számítógépek- 
ben és médialejátszókban láthatjuk 
őket viszont. 





A SanDisk piacra 
dobta 32 gigabájtos 
SSD-jét (Solid State 
Drive), azaz olyan 
merevlemezét, 
mely nem tartalmaz 
mozgó alkatrészt. 
Az 1.8 hüvelykes eszköz akár 62 mega- 
bájt másodpercenkénti sebességgel is 
képes olvasni. A megoldás nagy előnye 
a kisebb energiafogyasztás (0.4 watt) 
mellett a 75 megbízhatóság is. 

A Hitachi elkészí- 
tette 3.5 hüvely- 
kes, 1 terabájtos 
merevlemezét, 
mely 2007 első ne- 
gyedévében kerül 
a boltokba 399 
dolláros áron. 

A Seagate sem ül a babérjain, még 2007 
első felében piacra dobja ő is 3.5 hü- 
velykes méretben az 1 terabájtos me- 
revlemezét. A bejelentés szerint a meg- 
hajtó kevesebb lemezt tartalmaz majd, 
mint a 750 gigabájtos előd, így lényege- 
sen sűrűbben lesznek rajta az adatok. 








Mégis csak megfelel a Bitlorrent? 
Hamarosan nem csak Linux 
telepítőmédiát és nyílt forrású játéko- 
kat tölthetünk le legálisan 
Bitlorrenten keresztül, de filmeket, 
sorozatokat is. A megállapodás értel- 
mében a 20. Century Fox, az MIV 
Networks, a Paramount Pictures és 
még sokan mások elérhetővé tesznek 
tartalmakat kisebb nagyobb korlátozá- 
sokkal. Ilyen korlátozás lehet például, 
hogy bizonyos filmeket csak néhány- 
szor lehet majd megnézni, viszont egy 
IV sorozat egy-egy epizódja várható- 
an 1 dollár körüli áron lesz elérhető. 
2 http:/arstechnica.com/news.ars/ 
post/20061129-8321.html 





Linuxos E-Book olvasó 


Vavaritr 1 944 si 


) 


Seddinu 





A taivan-i eRead kínálatában már 
szerepel a Star eBook STK-101, amely 
elektronikus papírt használ. A gyártó 
szerint akár 60 könyv (kb. 6-10 ezer 
oldal) is elolvasható egy feltöltéssel. 
Az eszköz emellett hangkoskönyvet is 
képes lejátszani, mint ahogy MP3-at is. 
Az eszköz kijelzője 
6 hüvelykes, 
800x600 képpont 
felbontással bír és 
16 szürkeárnyalatot 
tud megjeleníteni. 
200 MHz-es ARM- 
920T processzor 
bújik meg a burko- 
lat alatt. A Linux egy 4 megabájtos 
ROM-ból indul és működés közben 
16 megabájt memóriával gazdálkod- 
hat. Felhasználói állományok táro- 
lására a beépített 04 megabájtos 
DataFlash-t használhatjuk, de SD 
vagy MMC kártyával akár 1 gigabájtig 
is bővíthetjük. Az eszköz alapterületre 
valamivel nagyobb, mint egy postai 
képeslap (188 x 118 mm), vastagsága 
pedig csupán 8 mm. 
A készülék ára 400 dollár, de ezért 
kapunk a készülék mellé hálózati 
adaptert, fülhallgatót, akkumulátor, 
bőrtokot, illetve egy 512 megabájtos 
SD kártyát. 
2 http:/www.linuxdevices.com/ 
articles/AT5277698708.html 
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Linux? Out! 
A francia csendőrség és a kulturális 
minisztérium már Linuxot használ. 
Hamarosan a francia parlament is 
nyílt forrásra vált, melynek keretében 
több, mint ezer munkaállomásra kerül 
Linux, OpenOffice.org, Firefox és nyílt 
forrású email kliens. 
2 http://news.zdnet.com/ 

2100-3513 22-6138372.html 


Évfordulók 


35 éves az Intel 4004-es processzor 

Az Intel 4004-et jellem- 

zően számológépekben 

alkalmazták. Az eltelt 35 

év alatt az integráció 

foka hihetetlenül meg- 

ugrott, hiszen a 4004-es csupán 2300 

tranzisztort tartalmazott, míg egy mai 

Core Duo több, mint 291 milliót. 

A 4004 órajele 740 kHz volt, míg 4 kilo- 

bájt memóriát tudott megcímezni. 

A 35. születésnap alkalmából az Intel 

elérhetővé tette a processzor kapcsolá- 

si rajzát és a kézikönyvét. 

2 http:/www.linuxdevices.com/news/ 
N5S8934778390.html 

2 http:/en.wikipedia.org/wiki/4004 
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Idén 16 éves a web 

16 évvel ezelőtt készült az első 
weboldal. A weboldalak alapvetően 
meghatározták az Internet történetét. 
Internet persze már korábban is volt 
(levelezés, hírcsoportok, stb.), de egé- 
szen a 1990-ig csupán a lakosság kis 
része használta napi rendszerességgel. 
A robbanásszerű gyarapodás bizonyít- 
hatóan a weboldalaknak köszönhető. 
2 http://www.w3.org/History.html 


15 éves a PGP 

Phil Zimmerman 1991-ben adta ki 

PGP-jét (Pretty Good Privacy), 

mely bárki számára lehetővé tette 

a biztonságos és titkosított információ 

továbbítást. 

2 http:/www.net-security.org/ 
secworld.php?id— 4410 


10 éves 

10 éves a CSS. A CSS nem más, mint 
stíluslap, amely lehetővé teszi, hogy 
az oldalaknak pillanatok alatt más 
megjelenést adjunk. A korábbi meg- 
oldáshoz képest különvált a tartalom 
(html) és a dizájn (css). 

2 http:/www.w3.orgyStyle/CSS10/ 


Dizájnos TV/PC 





A hongkong-i 
Ouataris bemu- 
tatta Ottimo mo- 
delljét, mely 
a belsejét tekintve 
egy Pentium 4-es 
gép LCD monitor- 
ral szerelve. Per- 
sze ez még nem 
lenne érdekes, de az eszköz előre tele- 
pített SUSE Linuxot futtat. A tárhely- 
ről 80 gigabájtos merevlemez gondos- 
kodik, míg az operatív memória 256 
megabájt, amely 2 gigabájtig bővíthe- 
tő. Az eszköz rendelkezik gigabites 
hálózati csatolóval, tv tunerrel és DVD 
olvasóval. A képernyője 16:10 kép- 
aránnyal bír, és 15, 17 vagy 19 hüvely- 
kes változatban is kérhetjük. 
Az eszköz ára 1000 euró körül várható. 
2 http:/www.linuxdevices.com/news/ 
N5S9175573311.html 


Java 6 
A kétéves fejlesztés eredményeként 
már elérhető a népszerű Java platform 
6-os verziója. A Sun 330 külső fejlesztő- 
vel és 160 céggel működött együtt annak 
érdekében, hogy biztosítsák a kompati- 
bilitást a korábbi rendszerekkel, illetve 
a stabilitást és a megfelelő teljesítményt. 
2 http:/osnews.com/story.php/16689/ 
Java-6-Released/ 


HELYESBÍTÉS 





Debian Etch — befagyasztva 

Andreas Barth, a Debian kiadásokért 

felelős csapat tagja, bejelentette, hogy 

befagyasztották a Debian Etch-et, mely 

a következő stabil verzió lesz. A kiadá- 

sig azonban még pár hibát javítani 

kell, de új csomag (vagy egy csomag 

újabb verziója) már nem kerül bele. 

2 http:/www.debian.org/News/ 
weekly/2006/42/ 


Kernel szintű virtualizáció 

Andrew Morton szeretné a 2.6.20-as 

kernel verzióba beletenni a kernel szin- 

tű virtualizációt. Ez a gyakorlatban azt 

jelentené, hogy a VMWare, Xen, gemu 

mellett maga a Linux kernel is képes 

lenne futtatni módosítatlan Linux 

vagy Windows rendszereket. 

2 http:/osnews.com/story.php/16746/ 
KVM-10-Be-Merged-Into-Linux- 
Kernel-2.6.20/ 


Indiai VolP kérdés 


Elképzelhető, hogy hamarosan nem 

telefonálhatunk Indiából vagy Indiába 

számítógép segítségével (Skype, 

Yahoo, stb.) a kormány hatására. 

Hogy ez befolyásolja-e a hagyomá- 

nyos telefonról indított VoIP híváso- 

kat, arról nem szól a híradás. 

2 http://eeconomictimes.indiatimes.com/ 
articleshow/7268343.cms 


Biztonságos laptop akkumulátorok 
A Matsushita (a Panasonic termékek 
gyártója) kifejlesztette a biztonságo- 
sabb litium-ion akkumulátort laptopok 
számára. Korábban az anódot és 
a katódot csupán egy vékony réteg 
választotta el, így az akkumulátorok 
esetleges sérülése vagy túlmelegedése 
esetén a könnyen kigyulladhattak és 
felrobbanhattak. A Matsushita újítása 
abban áll, hogy az anód és a katód 
közé jobb szigetelési képességgel 
bíró anyagot helyezett, amely meg- 
gátolja a túlmelegedést még akár 
rövidzárlat esetén is. 
2 http:/arstechnica.com/news.ars/ 
post/20061218-3442.html 








Bináris kernel modulok 
Korábban felröppent a hír, miszerint 
2008 januártól kizárnák a bináris kernel 
modulok használatát. (Jelenleg például 
jó néhány WIFI kártya rendelkezik 
ilyen meghajtóval.) Linus Torwalds 
azonban ezt az ötletet badarságnak 
tartja. A felvetésre válaszolva a DRM- 
hez (digitális jogkezelés) hasonlította 
a dolgot, ahol az ember nem szabad 
(free). Véleményében megjegyezte azt 
is, hogy amennyiben a nagyobb Linux 
disztribúciók nem ellenzik ezt a tiltást, 
úgy ő nem akadályozza meg a lépést. 
Az viszont meglehetősen valószínű, 
hogy a bináris modulok tiltása vissza- 
vetheti a telepített Linuxok számának 
növekedését. 
2 http:/arstechnica.com/news.ars/ 
post/20061215-8428.html 





Medve Zoltán 
(e€-medve(9de-medve.hu) 
2001-ben kezdett 
,Linuxolni", de már 
korábban is ismerkedett 
a szabad szoftverek vilá- 
gával. Ha éppen nem a gép előtt ül, 
akkor fotózgat, olvasgat vagy bicajozik. 


Nanrakész hírek 
a 


Linux világából (is) 


Magyarország 
vezető 


informatikai portálján 


Ni újság a rendszermag fejlesztése korul? 


W Michael Halcrow olyan javítócsoma- 
gokat készített, amelyek támogatják 

a nyilvános kulcsú titkosítást az 
eCryptFS-ben. Úgy tűnik, az Andrew 
Morton féléknek tetszik az ötlet, 
bár Andrew arra hívja fel a fi- 
gyelmet, hogy új kód írása he- 
lyett talán szerencsésebb lenne 

a rendszermagban már megta- 
lálható kulcskezelést kibővíte- 

ni az eCryptES nyilvános kul- 
csú jellemzőinek támogatásá- 

ra. Michael azonban úgy érzi, 

jó úton halad, és úgy tűnik, az 
eCryptES nyilvános kulcsú támo- 
gatásának ideje elérkezett, függet- 
lenül attól, hogy végül milyen kód 
valósítja majd meg. 

Alon Bar-Lev 255-ről 2048 karakterre 
bővítette ki a rendszermagbetöltő pa- 
rancssor hosszát, hogy az elmúlt évek- 
ben felgyülemlett kapcsolók, például 
modulparaméterek, initramífs, 
suspend, resume kényelmesen elfér- 
jenek. Sajnos az is kiderült, hogy 

a rendszermagbetöltő parancssort 
nem lehet csak úgy megváltoztatni. 
Az assemblyben írt kód olyan furmá- 
nyos és rosszul megtervezett, hogy 
még az egyszerűbb változtatások is 
nagyobb javításokat eredményeznek. 
Andy Kleen, H. Peter Anvin, Alon és 
mások azonban mindezt lehetőségnek 
tekintették, hogy végre felszámolják 

a kupit. A tisztogató akció valószínű- 
leg késleltetni fogja a parancssor 
hosszának 2048 karakterre bővítését, 
de egyúttal olyan lehetőségeket is 
feltárhat, amelyekre eddig még csak 
nem is gondoltak. 

Greg Kroah-Hartman és Thomas 
Gleixner szerint a felhasználói térben 
működő PCI-eszközmeghajtók írása 
bolondság, tehát úgy döntöttek, vala- 
mit tenniük kell. A folyamat megállítá- 
sához, Thomas infrastruktúrakódot 
dobott össze, amit még Greg is büty- 
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költ. Miután közzétették, egy marok- 
nyi csapat, köztük Andrew Morton, 
elkezdte olyan formába önteni, hogy 
a rendszermagba kerülhessen. Úgy 
tűnik, a kód végül nem egyszerűen 
PCI-, hanem általános eszközmeg- 
hajtó-alrendszer lesz a felhasználói 
térben, ami már be is indította a ke- 
resztelő előkészületeit — egy sor elne- 
vezés született, a User Space Driver-től 
(USD, eszközmeghajtó a felhasználói 
térben) a Framework for Userspace 
Drivers-ig (FUD, keretrendszer a fel- 
használói eszközmeghajtókhoz). A ma- 
gam részéről egy FUD nevű alrend- 
szert látnék szívesen. Manu Abraham 
már türelmetlenül várja a teljes imple- 
mentációt, mert simábbá tenné az utat 
az Andrew de Ouincey-vel közösen 
végzett munkájuk számára, és még 
mások is járnak hasonló cipőben. 

Neil Brown kissé frusztrált amiatt, 
hogy manapság hány különféle 
módon lehet paramétereket átadni 

a rendszermagnak. sysctl, SysES, 


modulparaméterek, rendszermag- 
paraméterek vagy (csak suttogni is 
alig merem) ProcIS legyen a választás, 
ha új modul készül? lanácstalanságá- 
ban tanácsért folyamodott. Azon túl, 
hogy Horst von Brand a sysctl-t 
javasolta, a kibontakozó vita nem 
adott Neilnek egyértelmű és 
megnyugtató választ, de leg- 
alább sikerült Oleg Verych-et 
vallomásra bírni az új, etab 
(External Text and Binary) nevű, 
paraméter-interfész ügyében. 
Az etab a paramétereket kulcs- 
érték párban tárolja, és Oleg sze- 
rint sok esetben használható, mikor 
a rendszermagot kell paraméterezni. 
Joerg Roedel implementálta az RFC 
3378-ban definiált protokollt, ami az 
Ethernet keretek IPv4-es csomagokban 
való küldésére (tunelling) szolgál. 
Philip Craig rámutatott, hogy Joerg 
kódjának logikus helye a már létező 
iproute2-ben lenne. Joerg ezzel egyet- 
értett, de hangsúlyozta, hogy a kódot 
az iproute2-től függetlenül, kísérleti 
céllal írta. lervezi az integrálását, 
mihelyt a kód elegendően stabil lesz. 
Arjan van de Ven az Intelnél bejelen- 
tette, hogy elkészült a Linux Firmware 
fejlesztőcsomag első változatával. 
Az Intelnek ez a nyílt forráskódú kez- 
deményezése egy sor tesztet is tartal- 
maz annak vizsgálatára, hogyan mű- 
ködik együtt egy rendszer BIOS-a 
a Linuxszal. Arjan reményei szerint 
ez segítséget nyújt majd a BIOS- 
fejlesztőknek, hogy ez a cél minél 
jobban megvalósuljon. Az Intel is 
reménykedik, hogy a fejlesztők hasz- 
nálják majd az új eszközt, segítségével 
hibákat javítanak és további BIOS-ok 
támogatásáról gondoskodnak. 


Linux Journal 2006., 153. szám 


Zack Brown 


Személyes adataink védelme 


Már Magyarországon is szinte mindenhol elérhető a szélessávú internet, 
legyen az ADSL, kábeltv vagy vezeték nélküli - legyen az mobiltelefonos 
vagy WIFI. Ez sok terhet levesz a felhasználó válláról, hiszen nem kell például 
egy átutalásért a bankba rohangálni. Viszont sokkal sebezhetőbbé váltunk. 


Az ideális bank 


Egy bank esetében nagyon fontos, 
hogy a tranzakciókról - legyen 

az akár ezer forint vagy akár több 
millió — csupán a küldő és a fogadó 
félnek legyen tudomása. 


- 


1. ábra Így néz ki egy Netlock tanúsítvány 





Ennek megfelelően a bankok titko- 
sított oldalakon (https) vagy saját 
titkosító programmal biztosítják 

a megbízható internetes banki ügyin- 
tézéseket. Persze ez ahhoz, hogy egy 
bank megbízható legyen, szüksége 
van hiteles tanúsítványra. Ilyet 
Magyarországon például a Netlock, 
külföldön a Verisign adhat, de számos 
egyéb tanúsítvány kezelő cég van. 

A tanúsítvány egyfajta virtuális 
személyigazolványként is felfogható. 


Phising 

Phisingnek, vagy más néven adatha- 
lászatnak hívják azt, amikor szemé- 
lyes - sokszor bizalmas - adatokat 
próbálnak megszerezni tőlünk. 


A dolog lényege, hogy két kulcs van a rendszerben: egy privát és egy 
publikus. A mechanizmus röviden úgy működik, hogy minden banki tranzak- 
ció esetén a bank publikus kulcsával titkosítja a böngésző a küldött csomago- 
kat. Ezt a titkosított adatcsomagokat ezek után azonban már csak a bank 
tudja megnézni a privát kulccsal, éppen ezért az ilyen típusú titkosításnál 

a privát kulcsot titokban kell tartani, míg a publikus kulcs bárkinek kiadható. 
Vagyis nem igaz a következő egyenlet: adat 4 publikus kulcs - publikus kulcs 
— adat. A megoldás briliáns, noha nem feltörhetetlen. Megfelelő számítási 
kapacitással — ne tízezer gépes klaszterben gondolkodjon az Olvasó - fel lehet 
törni, de anyagilag egyelőre nem biztos, hogy megéri. 


Kis kitérő: néha fel-felbukkannak hírek az úgynevezett kvantum számítógépek- 
ről, azonban ezek még a gyakorlatban nem használhatóak, viszont ha valaha 
is elkészülnek, nagyságrendekkel gyorsabbak lesznek a mostaniaknál. lehát 
amihez most kell egy tízezer gépes klaszter, ahhoz a kvantumszámítógépek 
korában egy is bőven elég lesz. Ennek megfelelően a jelenleg használt kódo- 
lási megoldások is értéktelenné válhatnak. Persze ehhez elég sok víznek kell 
lefolynia a Dunán. 


www.budapestbank.net 


domain: 
owner: 
emai I : 


budapestbank.net 

Hugh Funderburg 
vrwerfverw4ldyahoo. com 

address: 12913 Melrose Rd 

city: Caledonia 

state: ka 

postal-code: 61011 

country: 4 

phone: 1815.8851429 

admin-c: CNET-626553 vrwerfverw4ldgyahoo. com 
tech-c: CNET-626553 vrwerfverw4ldGgyahoo. com 
billing-c: CNET-626553 vrwerfverw4ldgyahoo. com 
a CA aie ns1.wi 1 ]lbe-one . com 
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nserver: 
status: 
created: 
modified: 
expires: 


ns2.wil1lbe-one. com 

hold, infringe-3rd-parties 
2006-11-30 22:07:00 UTC 
2006-12-05 11:06:38 UTC 
2007-11-30 22:07:00 UTC 


fax-no: 
hun-id: 
admin-c: 
tech-c: 
Zzone-c: 


domain pri ns: 


CNET-626553 
Hugh Funderburg 


contact-hdl: 
person: 
emai I : 
address: 

EI caledonia 
state: — 
postal-code: 61011 
country: 4 

phone: 1815.8851429 


www.budapestbank.hu 
domain: 


org: org name eng: 


"Bank Co. 


org: org. name hun: Budapest 


. Bank Rt. 
(o lolgi is Váci út 188 
address: 


address: HU 


phone: 36 1 4506000 


Erste Bank Netbank - Debian Thunderbird 


Ba 
TES 
Kedves számlatulajdonos! 


2006. december 1-jén a rendszerünkben a banknak pénzmosással, 


hitelkártya csalással, terrorizmussal kapcsolatban és 
visszaél 


a 
lések ellenorizése céljából zárolnia kellett néhány számlát. 


Az ezekkel a számlákkal kapcsolatos információt megkapták 
levelezo bankjaink, valamint a helyi, szövetségi és nemzetközi 
hatóságok. A kiterjedt adatbázis-muveletek miatt néhány számla 
esetleg megváltozott. Arra kérjük tehát ügyfeleinket, hogy 
ellenorizzék csekk- és megtakarítási számláikat, hogy ezek 
aktívak-e, vagy hogy a jelenlegi egyenlegük megfelel-e a 

valósái 

A bank az összes ügyfelét értesíti jelentosebb visszaélés vagy 
bunügyi cselekmény esetén, és megkéri Önt arra, hogy 


Belépés 
http://www.erstebank.hu/verification 


! 2. ábra Hamis Erste Bankos e-mail 


A phising célpontja leggyakrabban 
banki adat szokott lenni, de gyakran 
van példa más számra (például 
IMEJ). 

A sikeres phising azon áll vagy bu- 
kik, hogy a felhasználót sikerül-e 
meggyőzni, hogy ő most ténylege- 
sen az adott oldalt nézi, és nem 
csak egy csali oldalt. Ezt legtöbbször 
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budapestbank.hu 
Budapest 


H-1138 Budapest 


registered: 
changed: 
registrar: 


vrwerfverw41Gdyahoo. com 
12913 Melrose Rd 


org: 


OFge 


address: 
address: 
address: 
phone: 
fax-no: 
hun-1d: 


4136 1 4506032 

0990603035 

2000243871 

2000275450 

pÁGol oP Gt Ni 

serval .bbrt.hu[195.56.141.43] 
TÁSA KO TEAT SS a ESA LA ZAL 
ZOOAZOZAOSETSE 750 
1990930008 


org. name eng: T-online 
Hungary Co. 
org name hun: 
. ország Zrt. 
Postafiók 204. 
H-1364 Budapest 
HU 
r36 1 3713400 
r36 1 3713405 


1990930008 


T-Online Magyar 
(Registrar) 


Mindkét lekérdezés 2006. december 7-én történt. 


Melyik hihetőbb? 


a? Raiffeisen 
BANK 


Kedves számlatulajdonos! 


Raiffeisen Bank DirektNet - Debian Thunderbird 


2006. december 1-jén a rendszerünkben a banknak pénzmosással, 
hitelkártya csalással, terrorizmussal kapcsolatban és a visszaélések 
ellenorízése céljából zárolnia kellett néhány számlát. 


Az ezekkel a számlákkal kapcsolatos információt 
bankjaink : 


apták levelezo 


valamint a helyi, szövetségi és nemzetközi hatóságok. A kiterjedt 


adatbázis-muveletek miatt néhány számla esetleg megváltozott. Arra kérjük 
tehát ügyfeleinket, hogy ellenorizzék csekk- és megtakarítási számláikat, 


hogy ezek aktivak-e, vagy hogy a jelenlegi egyenlegük megfelel-e 


valóságnak. 

A bank az összes ügyfelét értesíti jelentosebb visszaélés vagy bunügyi 
cselekmény eseten, és megkéri Önt arra, hogy ellenorizze számlája 
egyenlegét. Ha úgy vél, vagy azt találja, hogy a számláján visszaélést 
követtek el, errol értesítsen bennünket úgy, hogy belép az alábbi 


hívatkozáson keresztül. 

Belepés 
http.-(www.rarfieilsen.husecurelogin 
144 2006 Raiffeisen Bank Zrt. 


3. ábra Hamis Raiffeisen Bankos e-mail 


a hasonló dizájnnal és tartomány- 

névvel rendelkező oldal tudja elhi- 
tetni, de nem kell túl paranoiásnak 
lennünk, hogy ezt egyszerű eszkö- 


zökkel kivédjük. 


Hogyan védekezhetünk? 
A phising ellen többféle védelem is 
létezik, de az alábbiakból minél többet 





alkalmazunk, annál nagyobb bizton- 
ságban érezhetjük magunkat. Persze 
teljes biztonság nincs. 

Az első és legfontosabb: jegyezzük 
meg fejből az online bankunk internet 
címét, vagy legalábbis az elejét. 

Ezzel elkerülhető, hogy esetleg 

egy nem megfelelő oldalon adjuk 

ki adatainkat. 


9 € hitp./intermetbank.budapestbank.net/magyar.htm O 
9 6 GI 
u" LL űj 


Ketel 


(A RROBET an 


Vdrtzúlját : Budapes! minrnetbara 
SZ Pt kave Pite en hazon patpar 
A belépéshez írja be azonosítóját és jelszavát, 
majd nyomja meg a Belépés gombot. Kérdés esetén hívja a 
teBankot: 06-40-477-777. 


Azonosító: 


—— E — 


Jelszó: 


uz 


x a XI http://raiffeisen-portal.com/ 19 
F.a £ 
6. 


Belépés 


a? Raiffeisen 
DXIBANK 


MAGANSZEMELY EKNEK 


VELÜNK 
KÖNNYEBB 


KIS-ÉS KÖZEPVÁLLALATOK NAK NAGYVÁALL ALATOKNAK ÖNKOFRMÁNYZATOKNAK 


b Bankfiókjaink 

b Önkiszolgáló terminálok 

b Kedvezményes ATM-ek 

b Készpénzbefizetés ATM-en keresztül 
b Teletonos ügyfélszolgálat 

b Online ügyfélszolgálat 


Bejelentkezes 


b Panasz bejelentése 


b Private Banking ügyfeleinknek 


Bejelentkezés -- 


Eltele jlette a jelszavát? 





BUDAPEST 
INTERNETBANK 


( 


Az internetBank Szolgáltatás átmenetileg nem érhető el. 


Tisztelt Ügyfeleink! 


Megértésüket köszönjük, 
Budapest Bank Nyrt. 


Amennyiben észrevétebi, javaslatai vannak rendszerünkkel 
kapcsolatban, kérjük. írja meg nekünk! 


" Eszrovételek, javaslatok 


Magyar Engieh 





Főoklal — Aktuális  Elérhetőségeink  Sajtószoba  Állásajánlatok  Railfeisen Csoport — Engísh 8 


XX MP Raiffeisen 
9 BANK 
MAGANSZEMELYEKNEK 


b Raiffeisen Bank Zrt. 

b Raiffeisen Ingatlan Zrt. 

b Raiffeisen Lízing Zrt. 

b Raiffeisen Befektetési Alapkezelő Zrt. 


b Raiffeisen Gazdasági és Adótanácsadó 
zn. 


b Nemzetközi Raiffeisen Csoport 
"v Sajtószoba 

b Sajtoközlemenyek 

b Közzétételek 

b Hírek 


Ha Ön Raitte se n DirektNet használó Raittelsen Ügytél. 


kérjük, kattintson ide. 


" A piros csilaggal mege lölt mezőket minde nkeppen kikell töltene , a többi adat megadása opciona it. 


6. ábra Hamis Raiffeisen Bank nyitó oldal (2006.12.06.) 


A bank e-mailben és sms-ben nem 
kér adatokat, illetve nem kéri, 

hogy az e-mailben szereplő linkre 
kattintsunk. Amennyiben ez törté- 
nik, nézzük meg, hogy az e-mailben 
szereplő link milyen címre mutat. 
Fontos, hogy mire mutat és nem az, 
amit kiír. Ezt például Thunderbird- 
ben úgy tudjuk megnézni, hogy 

a link fölé visszük az egeret és alul 

a státusz sorban megjelenik 

a hivatkozás. Ha a hivatkozás https 
helyett Attp, akkor mindenképp 
gyanakodjunk. 


Garantáljuk weboldalad 


b Pénzügyi adatok 

b Elemzesek 

b Tözsdei információk 

b Hirlevelek 

Pp Raiffeisen szószedet 

b Mediatar 

b Tarsadalmi szerepvállalás 
b Raifteisen Galeria 


E-mail esetén hasznos lehet az email 
forrásai is. Egész pontosan az utolsó 


Received from mező. Ritkán jön (értsd: 


soha) magyar banki e-mail demon.nl, 
ninja.com, vagy wanadoo.fr tarto- 
mányokból, mint ahogy az december- 
ben történt. 

A banki weboldalakon nem kérik 
egyszerre az azonosítót, a jelszót 

és a telebank kódját. Ezzel is elég 

jól szűrhető az adathalászat, 
amennyiben nem rutinból töltjük 

ki a bejelentkezési ablakot. 

Ha a bankunk támogatja, 


10095-os rendelkszülhe állását, 


Egyetlen leállás egy hónapban, és viss 


VELÜNK 
KÖNNYEBB 


e LLALATOKNAK ÖNKOFRIMÁNYZATOKNAK 


Ralttelsen DirektNet aktiválás - 1. lépés 


2 Amennyben Ön rende kezk az aktiválásho:; oz szükséges 8 számjegyű Direkt Azonosítóval, 4 e Dírekt PIN 
kóddal valamint már megkötött DirektNet sze rződéssel, itt aktiválhatja DirektNet szolgáltatásunkai 


Direkt Azonosító: 
Direkt PIN: 


2 Amennyben Ön nem rendekezk a lenti azonosítókkal. szoljáltatásunkat kérheti gényllapunk postán keresztül 
történő beküldésével. vagy bármely banktiókunkban. 


. 2 
J Giser er MESTES 


7. ábra Valós Raiffeisen Bank nyitó oldal (2006.12.06.) 





érdemes SMS értesítést kérni az 
online felületen végrehajtott műve- 
letekről, mint például a belépés, 

az átutalás kezdeményezése, illetve 
a jelszóváltás. 

Ha nem is telepítünk minden 
frissítést, de legalább a titkosító 
könyvtárak frissítéseit, illetve az 
online bankhoz használt böngésző 
frissítését tegyük meg. 

Nyilvános helyen - például 
netkávézóban, vagy más közös haszná- 
latú gépen -— ha lehet, mellőzzük az 
internetes banki ügyintézést. 
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8. ábra Ha a Netcraft adatbázis már tud a csalásról, akkor az oldal megnyitása 


előtt jelez 


9. ábra Egy 70 dolláros billentyűleütés figyelő (keylogger). 


Akár félmillió leütést is tárolhat. 


A gépen bármi lehet, amely elárulja, 
mit csináltunk. Lehet akár egy trójai, 
vagy egy keylogger (billentyűleütése- 
ket megjegyző program), de akár 
külső keylogger is, amely a számítógép 
és a billentyűzet köze csatlakoztatha- 
tó. Ugyanide tartozik: noha könnyed- 
séget okoz, mégse mentsük le a jelsza- 
vakat a böngészőbe. 

Gyakori hiba még, hogy nem titkosított 
VNC vagy rdesktop kapcsolaton keresz- 
tül jelentkezik be valaki. Ez a gyakor- 
latban talán nem akkora rizikó, 

de inkább legyünk elővigyázatosak. 

Ha egy e-mailben küldött banki 
weboldalra klikkelünk, mindenképp 
ellenőrizzük a tanúsítványt. Ezzel 
például kideríthető, hogy valamelyik 
nagy tanúsítvány cég adta-e, vagy csak 
egy saját készítésűvel van dolgunk... 
Végül pedig, amennyiben módunk- 
ban áll, használjuk a Netcraft Toolbart. 
Igaz, hogy pár hasznos pixellel csök- 
kenti a képernyőt, de oldalak böngé- 
szésénél olyan információkat ad, 
melyek segíthetnek leleplezni az adat- 
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halászokat. Minden oldallátogatás 
esetén kiad például egy zászlócskát 
annak megfelelően, hogy melyik 
országban van az adott szerver. 
Éppen ezért, ha egy magyar bankhoz 
kanadai, vagy hongkongi zászlót ad 
be, akkor mindenképp gyanakodnunk 
kell. Ha nem szeretnénk a Netcraft 
Toolbart használni, akkor gyanús 
domain esetén használjuk a whois 
parancsot. 

A legegyszerűbb a végére: ha nem 
vagyunk biztosak a dolgunkban, 
hívjuk fel bátran a bank ügyfélszolgá- 
latát. Az ügyfélszolgálat telefonszáma 
leggyakrabban a bankkártyánk hátul- 
ján található. 

2006 decemberében számos bank ügy- 
felét megpróbálták becsapni, azonban 
a saját bőrömön csupán három hamis 
banki email jutott el (időrendben: 
Budapest Bank, Raiffeisen Bank, illet- 
ve az Erste Bank). Az Erste Bankról 
hamis változatáról azért nincs képer- 
nyő mentés, mert a hivatkozott oldal 
nem volt elérhető. 





Az IMEI szám a mobiltelefonok 
egyedi azonosítója — olyan mint 

a hálózati kártyáknál a MAC cím — 
amit azonban megfelelő progra- 
mokkal módosíthat a felhasználó, 
azonban ez jelenleg Magyarorszá- 
gon és a világ nagy részén törvény- 
telennek számít. 

Jó pár phising oldalt láttam már, 
amely az IMEI szám, az ország 

és a szolgáltató ismeretében vállal- 
ta, hogy megmondja a készülék 
hálózatfüggetlenítéséhez szüksé- 
ges kódot. Ez azonban a legtöbb 
esetben csak ígéret, viszont a meg- 
adott IMEI szám más országban 
használható, hiszen az IMEI szá- 
mok nyomonkövetése és tiltólistája 
csak egy-egy országon belüli szol- 
gáltatók esetén közös legtöbbször. 
Előfordulhat például az, hogy 

ha mondjuk külföldön felbukkan 
a mi IMEI számunk és valami 
törvénytelen dolgot hajtanak 
végre vele — majd letiltják ab- 

ban az országban -, úgy később 
esetleg, Mi, a jogos IMEI tulaj- 
donosok se tudjuk használni 

a készülékünket. 





Jelenleg egyik fenti banknál sincs 
számlám. Ez azonban nem jelenti 
azt, hogy a jövőben nem fordulhat 
elő hasonló eset, hiszen akár 

a számlámat vezető bank is lehet 

a következő. lehát vigyázzon 

a kedves Olvasó, az adathalászok 
már a spájzban vannak... 


Medve Zoltán 
Kenai eo ege ete VONT e 0 


VAGON a a eyo tai 
vi ,Linuxolni", de már 
korábban Is ismerkedett 
a szabad szoftverek világával. 
Ha éppen nem a gép előtt ül, akkor 


fotózgat, olvasgat vagy bicajozik. 


NAT T NH [d 


Netcraft loolbar 
2 http://toolbar.netcraft.com/ 





Tobbplatformos alkalmazások készítése a IMono 
fejlesztói keretrendszerrel 


2005 utolsó negyedévében a Linux kiszolgálókból származó bevétel elérte 
az 1,6 milliárd dollárt. Ez már a 14-ik egymást követő negyedév, amely- 

ben kétszámjegyű növekedést, az előző évhez képest összesen 20,8 százalé- 
kos bővülést regisztráltak ezen a területen. A teljes árbevétel tekinetében 

a Linux a harmadik helyen áll: a felhasználók egyre inkább bővítik a linuxos 
kiszolgálók felhasználási körét, kereskedelmi és műszaki területeken egy- 
aránt. A Linux az asztali rendszereken Is egyre népszerűbbé válik, hiszen 

a különféle szervezetek stabilabb, biztonságosabb és költséghatékonyabb 


alternatívákat keresnek. 





szofítverfejlesztés tekinteté- 
ben, a Linux megjelenése 
az adatközpontokban és 


az asztali gépeken azt eredményezi, 
hogy a vállalati fejlesztők és a füg- 
getlen szoftverfejlesztők (ISV-k) 
egyaránt keresik a hatékony, minél 
kevésbé költséges módját annak, 
hogy kritikus fontosságú alkalma- 
zásaikat átírhassák más-más 
platformokra. 

A SUSE Linux Enterprise Server 10 

és SUSE Linux Enterprise Desktop 10 
termékekben megtalálható Mono 
keretrendszer minden olyan eszközt 
biztosít a fejlesztők számára, amellyel 
nagyteljesítményű, többplatformos 
alkalmazásokat írhatnak mind a ki- 
szolgálókra, mind az asztali rend- 
szerekre, miközben korábbi beru- 
házásaikat, a szaktudásba, kódba 

és meglévő hardverbe fektetett 
értékeiket megőrzik. 


A .NET keretrendszer kialakulása, 
elemei 

A .NET keretrendszert, mint szoft- 
verfejlesztői platformot 2001-ben 
hozta létre a Microsoft — válaszul 

a Java egyre növekvő népszerűségé- 
re. A .NET keretrendszer segítségével 
lehetővé válik egyidejűleg a több 


nyelven történő fejlesztés, ráadá- 
sul számos olyan technológiát 
tartalmaz, amely nyílt szabványon 
keresztül biztosítja a kölcsönös 
együttműködést. 


Mire jó a Mono? 

A Mono projekt egy nyílt fejlesz- 
tési kezdeményezés, a Microsoft 

. NET keretrendszer nyílt forrás- 
kódú, Novell által szponzorált 
változata. A Mono segítségével 

a vállalati informatikusok és a füg- 
getlen szoftverszállítók fejlesztői 
meglévő .NET alkalmazásaikat 
migrálhatják UNIX-ra, és minden 
eddiginél nagyobb termelékeny- 
séggel fejleszthetnek új Linux-alapú 
és többplatformos alkalmazásokat. 
Az eddig hagyományosan 
Microsoft eszközökön dolgozó 
fejlesztők meglévő tudásuk és 
képességeik birtokában a Mono 
keretrendszer segítségével könnye- 
dén elérhetővé tehetik . NET-es 
munkaállomás- és szerveralkalma- 
zásaikat a gyorsan növekvő Linux 
piac számára. 

A Mono minden szükséges szoft- 
vert tartalmaz a .NET kliens- és 
kiszolgálóalkalmazások készítéséhez 
és futtatásához Linux, Solaris, 


MacOS X, Windows és UNIX környe- 
zetekben. Lehetővé teszi a vállalatok 
számára, hogy korábbi beruházásai- 
kat — az alkalmazottak szaktudása, 
fejlesztői nyelvek ismerete, meg- 
lévő hardverek és egyéb eszközök — 
költséghatékonyabb módon hasz- 
nálják ki a jövőben a szoftverfejlesz- 
tések során. 

A .NET alkalmazások létrehozásához 
és működtetéséhez szükséges Mono 
környezet magja az alábbi fő összete- 
vőket tartalmazza: 


e . Common Language Runtime (közös 
nyelvi futtatórendszer, CLR) 


e Cs fordító 
e .NET Class Library implementáció 


e . GNOME, Mono, UNIX függvény- 
tárak 


e — Fejlesztőeszközök 


A Mono UNIX-támogatása 

Mint UNIX-platformokhoz szánt 
fejlesztői környezet, a Mono néhány 
igen hasznos funkciót biztosít, ezek 
közül az alábbiakban felsoroljuk 

a legfontosabbakat. 
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e . Mono.Posix — UNIX-specifikus 
alkalmazások, például 
démonok vagy UNIX-kiszol- 
gálók előállítására szolgáló 
függvénytár. 


e  GIKf - Egy API, olyan linuxos 
asztali alkalmazások készítéséhez, 
amelyek funkcionalitásában meg- 
találhatóak a grafikus alkalmazá- 
sok, a nyomtatás, a nemzetközi 
működésre való felkészítés 
(internationalization), konfigu- 
rációfelügyelet, témák kezelése 
és rajzolás. 


e . LDAP-támogatás — LDAP- 
hozzáférés .NET alkalmazások 
számára a Mono. Directory. LDAP 
vagy Novell.Directory. LDAP segít- 
ségével. 


e . Adatbázisok támogatása - Osztály- 
könyvtárak átfogó halmaza a leg- 
több (ingyenes és jogvédett) 
adatbázis támogatásához. 


e . Biztonsági csomag — A Mono 
saját, az alapoktól újraírt 
biztonsági rendszert használ, 
amelyben minden szükséges 
eszköz megtalálható a kriptog- 
ráfiai algoritmusoktól kezdve 
egészen a tanúsítványkezelésig 
és a felsőbb szintű protokollok 
(például SSL vagy TLS) meg- 
valósításáig. 


Mono-támogatás a Microsoft 
API-khoz 


Fdszűj ti 


A fenti bővítéseken túl a Mono projekt 
támogatja a fejlesztők és felhasználók 
által használt Microsoft API-kat is, 

így a UNIX, Solaris, MacOS X és 
Linux gépek egyetlen kódalappal is 
elérhetővé válnak. Ezek a könyvtárak 
binárisan kompatibilisek a Microsoft 
csomagjaival, tehát újrafordításra 
sincs szükség. 


A Mono fejlesztés előnyei 

A Mono lényegesen lecsökkenti 

a Linux platform támogatási költ- 
ségeit a szoftverfejlesztők számára. 
Hagyományosan egy új platform 
támogatásával kapcsolatos döntés- 
hez alaposan össze kellett vetni 

a fejlesztés költségeit a várható meg- 
térüléssel. A Mono jelentősen leegy- 
szerűsíti ezt a döntést, mivel egy 


A Windows és Linux fejlesztők 
meglévő tudásukra alapozva, eltérő 
platformon és különböző nyelven, 


de számukra ismerős eszközökkel 
készíthetik el a többplatformos 
alkalmazásokat. 





olyan többplatformos keretrendszert 
biztosít, amely együttműködik 

a legfontosabb .NET-kompatibilis 
összetevőkkel, mint például a CS- 
fordító és egy portolható végrehajtó 
rendszer, valamint egyesíti számos 
modern programozási nyelv előnye- 
it. A Windows és Linux fejlesztők 
meglévő tudásukra alapozva, eltérő 
platformon és különböző nyelven, 
de számukra ismerős eszközökkel 
készíthetik el a többplatformos 
alkalmazásokat. 


A Mono beszerzése 

A Mono fejlesztői keretrendszer fontos 
része a SUSE Linux Enterprise Server 
10 és SUSE Linux Enterprise Desktop 
10 termékeknek. A Mono számos 
egyéb platformon - SLES9, Win- 
dows, Mac, Solaris és más Linux- 
disztribúciók - is elérhető. A program 
letölthető a Mono projekt web- 
oldaláról (2 mono-project.com/ 
downloads) is. 


Asztali rendszerek programozása 

A Mono igen sok olyan alkalmazást tesz 
elérhetővé, amely hozzájárul a linuxos 
asztali rendszerek egyre növekvő nép- 
szerűségéhez. Az olyan ismerős alkal- 
mazások, mint az F-Spot fényképkeze- 
lő, a Beagle keresőmotor, a Tomboy 
jegyzetkészítő, a Banshee zenelejátszó 
és még sok egyéb program, mind ki 
tudják használni a Mono/GTKf keret- 
rendszer biztosította API-kat a kiváló 
funkcionalitás érdekében. 


Linuxon 

A GIKf a GIK-t eszközkészlethez 
való .NET hozzárendelések, valamint 
válogatott GNOME függvénytárak 
együttese. A GIKf egy eseményvezé- 
relt rendszer, csakúgy, mint bármely 
más ablakkezelő könyvtár, és lehetővé 
teszi teljesen natív grafikus GNOME 
alkalmazások készítését a Mono fel- 
használásával. A GTK/ része például 


az a funkcionalitás is, amely a grafikus 
alkalmazások készítéséhez, nyomtatás 
kezeléséhez, nemzetközi működésre 
felkészítéshez, konfigurációfelügye- 
lethez, témák kezeléséhez és rajzolás- 
hoz szükséges. 

A GNOME-ot használó linuxos 
asztali rendszerek natív eszköz- 
készlete lévén a GTKf használatá- 
val készült alkalmazások legjobban 
Linux alatt futnak, de természete- 
sen működnek majd más platfor- 
mokon is, például Windowson vagy 
MacOS X alatt. Ezen felül a Glade 
felhasználóifelület-szerkesztővel 

és a Gladef hozzárendelésekkel 
egyszerűen készíthetők el grafikus 
felületű alkalmazások. 


system. Windows.Forms 

Windows Forms-nak nevezik a Micro- 
soft .NET fejlesztői keretrendszer GUI 
részét, amely hozzáférést biztosít a na- 
tív windowsos ablakelemekhez a meg- 
lévő Win32 API felügyelt kódba ágya- 
zásával. A Mono átfogóan támogatja 
jelen kiadásában a Windows. Forms 1.1- 
et, és 2006 végére a 2.0-s változatot is. 


Linuxon és Windowson is futó 
alkalmazások fejlesztése 

Érdemes odafigyelni néhány rész- 
letre a fejlesztési fázisban, hogy az 
alkalmazás helyesen fusson Windows 
és Mono alatt is: 


e — Elérési utak elválasztó karakterei: 
törtvonal vagy fordított törtvonal 


e A fájlnevek érzékenysége a nagy- 
betűkre (a Windows nem foglalko- 
zik vele, de a UNIX érzékeny rá) 


e Az alkalmazás Mono alatti tesz- 
telése 


A Mono ütemterve és a .NET 2.0 
Ma már a vállalati és a tranzakciós 
szolgáltatások kivételével a teljes .NET 
1.1 specifikáció Mono alatt is fut, bele- 
értve a Windows.Forms támogatást is. 
Ezen felül a Mono magában foglalja 

a Cs 2.0-t, az általános támogatást, 
valamint a .NET 2.0 számos API-jának 
támogatását. 

A cikk bővített változata teljes terje- 
delmében a Novell Connection 2006. 
évi decemberi számában, vagy 

a 2 http://www.novell.com/hungary/ 
nc/ weboldalon olvasható. Ki 








Villámgyors alkalmazás-fejlesztés Oracle 
adatbázison 


W Az Oracle Application Express 


web-alkalmazás fejlesztő eszköz része 
az Oracle Database 109 Express 
Edition (továbbiakban XE) ingyenes 


ORNRACLE Database Express Edition 


User: HR 


aaa 


adatbázis-kezelőnek. Az Oracle 
Application Express segítségével 
rendkívül gyorsan lehet Oracle adat- 
bázisra webes alkalmazásokat fejlesz- 


0 License Agreement 
0 Getting Started 

0. Leárm móre 

9 Documentation 

0. Forum Registration 
9 Discussion Forum 
9 Próduct Page 


7 SS 


Administration 


Object Browser 


teni. Mindössze egy böngészőre és 
némi alkalmazás fejlesztői tapaszta- 
latra van szükség, hogy egyszerűen, 
professzionális alkalmazásokat készít- 
sünk akár kódolás nélkül, melyek 
egyaránt biztonságosak és gyorsak. 
Az elkészített alkalmazásoknak csu- 
pán egy böngészőre van szükségük, 
valamint egy Oracle adatbázis-keze- 
lőre, melyen elérhető az Oracle 
Application Express. Az Application 
Express nem csak az XE része, 
bármely támogatott Oracle adatbázis- 
kezelőre telepíthető. 

Az alábbiakban egy példa alkalmazás 
elkészítését ismertetem. 


Előfeltételek 

A példa elkészítéséhez előzetesen 
az alábbi követelmények teljesítése 
szükséges: 


1. Az Oracle Database 10g XE 
telepítése. A telepítő letölthető 
a http:/www.oracle.com/ 
technology/software/products/ 
database/xe/index.html oldalról. 

2. Az SOLfPlus-t elindítva lépjünk 
be SYSTEM felhasználóként 
(XE telepítésekor meg kellett adni 
a jelszavát), majd hajtsuk végre az 
alábbi parancsot, hogy az alapér- 
telmezetten letiltott hr felhasználót 
engedélyezzük: 


alter user hr identified by hr 
ssaccount unlock; 


I 


SOL 


SAL Soripts 


Juery Buider 
KPPNHCAUUTT BUNEI 


[Y-T és) 


S0L lekérdezés készítése 

Ebben a példában egy 3 táblára épülő 
lekérdezést készítünk el a Ouery 
Builder segítségével. Hajtsuk végre 
az alábbi lépéseket: 


1. Böngészőben 
a http://127.0.0.1:8080/apex URL-t 
megadva indítsuk el az Oracle 
Application Express felületét. 

2. A belépéshez adjuk meg az alábbi 
adatokat, majd klikkeljünk 
a Login-ra. 


Username: hr 
Passw hord: hr 


3. Lekérdezés készítéséhez klikkel- 
jünk az SOL ikon melletti nyílra, 
és válasszuk a Ouery Buildert, 
azon belül pedig a Create-t. 

(1. ábra) 


4. Klikkeljünk a Departments, 


Locations és Countries táblákra, 
ezzel azok a szerkesztő mezőbe 
kerülnek. 





A táblák között létre kell hozni egy 
összekapcsolást (join), hogy az 
adatok lekérdezhetők legyenek. 
Klikkeljünk 

a DEPARTMENTS.LOCATION 
ID-ra, és ,drag and drop" mód- 
szerrel húzzuk rá az egérrel 

a LOCATIONS. LOCATION ID 
oszlopra. (2. ábra) 

Ezt követően megjelenik a két osz- 
lopot összekötő vonal. Ugyanígy 
kell elkészíteni a LOCATIONS 

és COUNTRIES táblák közötti 
kapcsolatot is. 

A LOCATIONS.COUNIRY ID-t 
kell összekötni 

a COUNTRIES. COUNTRY ID 
oszloppal. 


Miután ezzel kész vagyunk, már 
csak meg kell jelölni, mely oszlo- 
pok tartalmát szeretnénk lekérdez- 
ni. Ezt az adott oszlop neve előtt 
lévő jelölőmező bejelölésével 
tehetjük meg, majd klikkeljünk 

a Run gombra. (3. ábra) 
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User: HR 
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NI 2. ábra NI 3. ábra 





2. Az alkalmazás nevének adjuk meg 
a HR Application nevet, és 
klikkeljünk a Next gombra. (4. ábra) 
Ezután válasszuk a Report oldal 
típust (Page Type), és ha az elmen- 
tett lekérdezés alapján akarunk 
riportot készíteni, akkor válasszuk 
az SOL Ouery-t az oldal forrása- 
ként (Page Source), és oldal névnek 


go ? 
kama Leney tag 
User HA SagzktN wan 
Hame 2 ..- apa 0. 8 
Enter an applicaton name and an unigye agplicatton ID. Than, select an application creation method and 
w a schema 
ve 9 Name HR Applicatton ! 
Gjt 


KA 
éreate Agpácaton 5 ram sarat 
" 


C Basedon exasbny appitt aton design model 


ORACLE Database Express Edition 





Scbema HR . 


NI 4. ábra 


8. A lekérdezés eredménye megjele- 
nik a képernyő alsó részén. A ri- 
port kilistázza az összes osztályt 
elhelyezkedésével (ország, megye, 
város szintjén) együtt. Amennyi- 
ben szeretnénk felhasználni ezt 
a lekérdezést alkalmazás fejleszté- 
se során, a Save gombra klikkelve, 
például Departments Locations 
néven elmenthetjük, mely aztán 
a Saved SOL fülön meg is jelenik. 


OGACLE Databáse Express Edition 





Riport alkalmazás készítése 

Az imént elmentett lekérdezés fel- 
használásával most készítsünk egy 
alkalmazást, mely tartalmaz egy ripor- 
tot a hr adatbázis osztályairól. 


1. Az XE főoldalán az Application 
Builder ikon melletti nyílra 0. 
klikkelve válasszuk a Create 
Application-t, majd ismét a Create 
Application-t. 


OGACLAI Database Express Edition 


Homé kánt Het 
User HR mk 


Horne? me Mpt nt 





b sm ] Add pages tó your appliicaton by setecting a page ype and clicking Add Page 
h eg — 
— hetáPage 
2 HL 


adjuk például a Departments szót, 
végül klikkeljünk a Ouery Builder 
gombra. (5. ábra) 

A Ouery Buildernél az előbbi pél- 
dából ismerős oldalon a Saved SOL 
fület kiválasztva megtaláljuk a ko- 
rábban elmentett Departments 
Locations lekérdezést. Ha erre 
ráklikkelünk, és a Return gomb se- 
gítségével visszatérünk az oldalké- 
szítő formra, akkor a Ouery mező- 
ben megjelenik a lekérdezés SOL 
kódja. Az Add Page gombra klikk- 
elve a riport oldallal elkészültünk. 
Most készítsünk egy másik oldalt, 
melynek típusa legyen Report and 
Form. Ez valójában két oldal lesz. 
A riport tartalmazni fogja egy 





(Cancet]  (ePrevious) [Nema] 





Page Page Name 
NNNNNNNKEEEZ 1 


(ESRATERTKZ 


[/dcAuh][ 





Shared Components 5 
v Select Page Type 
O Biank € Repon O Form 


Cd Hő B B 


Acuon Add a report 
Page Source : SOL Owvery e 
Page NamelDeparmems a] 


rez 


O Tabulár Form O Report and Form v  hadPage 


ka Select Page Type 
Lo mes] 2 0 Blank 
E 

" 








0 Report 


ő adó mb 


Action Add a report with an edit form on a second page 


Source 
select "DEPARTMENTS" 0 x 


O Form O Tabular Form 6 Report and Form 


Page Type $ource Type 
Report SEL Overy 


Subordinate to Page. Deparmerts a) d 


Table Name 





[inciude Anatysis Pages 
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adott osztály alkalmazottainak lis- 
táját, míg a Form egy alkalmazott 
szerkesztő oldala lesz. 


3 E b Page Detinition 
6. A Subordinate to Page paraméternél 


Page 2 
(melyik oldal alá kötjük be) vá- Page Name EMPLOVEES 
lasszuk a Departments (1)-et, majd Segyence 2 
2 2 2 5 a Page Type Report page 
a táblanév mező melletti felfelé mu- Page Source Table 


Source Table EMPLOYEES 
Parent Page Departments (1) 


tató nyílra klikkeljünk, és válasszuk 
ki az EMPLOYEES táblát. (6. ábra) 


7. Az Add Page gombra klikkelve Parent Page to This Page Column Associations 
ezzel is kész vagyunk. Link Column DEPARTMENT, NAME w (Use extra column to display nk 

S ATATké A felső tészén lévő oldal Link Text FDEFARTMENT NAMEP Use therme-specific edit button 

ű epernyo elso Teszen levo olda parent report column link to this report column 

struktúrán klikkeljünk a 2-es oldal column 1! DEPARTMENT ID" teport column DEPARTMENT ID 9 
EMPLOYEES megnevezésére column 2 - select column - w report column - select column - " 

9. A megjelenő ablakban a Link ÜK GAK 
Column paraméternek válasszuk ki Home Heading / Label Show — Alignment — Datalype — Format Mask Sort Seguence 
a DEPARTMENT NAME mezőt, EMPLOVEE Empioyee ld Yés mo nght 4 NUMBER ís 
a Parent Report Column 1 értéké- FEDÉS NT TtstŐ van Allj [dot Aj  WOONN - ai 


nek pedig válasszuk LAST NAME Last Name ves lett s VÁAROHAR? -: 8 
a DEPARTMENT ID-t, és ennek 
megfelelően a link to this report 
column értéke is legyen 
DEPARTMENT! ID. Ezzel beállítot- 
tuk, hogy az osztály nevére klikk- 
elve, annak azonosítója alapján fo- 
gunk átlépni a megfelelő osztály 
szerkesztő oldalára (Form). 
Befejezésül klikkeljünk az Apply 
Changes gombra. (7. ábra) 

10. Most klikkeljünk az 1-es oldal 





AT ETL LL LT al kir ELL murritry N.arwa 


Administration . Seattle . Washington ! United States of America 
Departments megnevezésére ismét vanhna Toronto Ontano Canada 
az oldal struktúrában, és a riport Purc sing ! Seattla Washington I United States of America 
ES e Hurnan Resources London United Kingdorn 
oszlopainál a DEPARTMENI ID Shipping South San Francisco California 3 United States of America 
esetén a Show paramétert állítsuk IT Southiake Texas . United States of America 
No-ra, hiszen az azonosító meg- Public Relations Munichn Bávaria 1 Germany 
jel ő B he ús Sales Oxford Oxford I United Kingdom 
Je EE Elke VEK ES seSeS. ExeCutlve Seattle wasnington United States of America 
11. Az összes szükséges oldallal Finance Seattle washington United States of America 
elkészültünk, klikk a Nexf-re. Accountina Seattle washington United States 0f( America 
12. E Stu b el dól Ireasury Seattle washington United States of America 
li 9y SOrIyI 1 (ta ) e egen 0 lesz, Corporate Tax Seattla washington . United States of America 
klikk Next. Control And Credit Seattle washington United States of Arnerica 
fiz Nem használunk osztott (shared) Shareholder Serwices  — Seattle Washington United States of America 
komponenseket, így a következő [E 





oldalon ismét csak klikk Next. 
14. Elfogadjuk az alapértelmezett 


authentikációt, így ismét klikk megtekinthetők lesznek az adott 
Next. osztályban dolgozó alkalmazottak 
15. Elfogadjuk az alapértelmezett listája, majd az alkalmazottak ada- A sld  bbfei 
megjelenést (theme) is, klikk Next. tait is szerkeszthetjük a 3. oldalra a je TSEREt B a 12 ZENET. 
B E s ; s lesztési lehetőségeit az Oracle 
16. Az utolsó, egyben összegző olda- eljutva. (8. ábra) 
lon, ha mindent rendben találunk, Me AMS Network oldalan, a 
akkor klikk Create. Sárecz Lajos me] 


17. Elkészült az alkalmazás 3 oldallal, technology/obe/xe/getstarted/ 


plusz a bejelentkezési oldallal, 
így klikkeljünk a Run Application 
logóra, és hr felhasználóként 
lépjünk be az alkalmazásba. 


lajos.sareczXooracle.com 


getstarted.htm címen lehet 
megtalálni. 
Az Application Express-ről további 
információk: 
2 http:/Avww.oracle.com/ 


2003 óta dolgozok az 
Oracle Magyarországnál 
értékesítési tanácsadó- 





18. Az első oldalon az osztályok listája ként Szakterülétém az adatbázis: 
látható, mely lekérdezést még kezelő, azonban feladatom az Oracle BENE S A vel KE 
a Ouery Builder-ben raktunk össze. Émuxos tevékenységének követése IS. AAS Et KEZEK e OKE 





Az osztály nevére klikkelve 
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Mikor szállítják házhoz a jegesmedvét? 


iután 

a Linuxvilág 
szerkesztősége 
örökbefogadta Tóbiást, 

a Budapesti Állatkert ma- 
dárleányát, többen több- 
ször nekem szegezték 

a kérdést: , És hová tetté- 





tek a pingvint?" Én csodál- " 


kozva néztem, s feleltem: 
hát elvittük egy körre és 
néhány tripla leszúrt 
rittbergerre a műjégpályá- 
ra, majd estebédeltünk és 
koccintottunk vele egy ha- 
lászcsárdában, de mikor 
már idétlen rendőrvicce- 
ket kezdett mesélni, bezár- 
tuk a fridzsiderbe, azóta 

is jégkockákat darabol. 
lalán elhamarkodott volt 
tréfákat űznöm, sosem 
lehet tudni, fejletlenebb 
érzékű humorral ki merít- 
het ötleteket. 

Leendő szülők örökbefo- 
gadási kérelmei között ku- 
takodva aranyos írásokat 
leltem, mint például: 
Szal, nekem kéne egy 
mókusmajom, de ha örök- 
befogadom, az hogy jut el hozzám?" 


Mások egyből keresztszülőkké 
válnának: 

, Én egy jegesmedvét szeretnék 
örökbefogadni! A neve Lady lenne!" 
Vannak igen bátor (?) egyedek is: 

s Szeretnék egy hím oroszlánkölyköt 
felnevelni!" 


És vannak, akik nem sokat lacafacáz- 
nak: , Egy krokodil kellene, küldjetek 
már egy emailt, hogy mennyibe kerül 
és mikor szállítják a megadott címre. 
Üdülési csekkel lehet fizetni?" 
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Azt hiszem, nem is akarnám 
megtudni, mi az összefüggés 

az üdülési csekk és a krokodil 
házhoz szállítása között, de azért 
kétlem, hogy a leendő hüllőszü- 
lő mondjuk balaton-parti sétá- 
kon andalogna pár méteres 
csemetéjével. 

Így hát indokoltnak látszik a kér- 
dés: milyen kötelezettségekkel, 
illetve milyen jogokkal jár, ha 
örökbefogadunk például egy 99-es 
évjáratú rókakuzut, vagy ugye ese- 
tünkben egy 98-as pápaszemest? 
Bizonyára egzotikusabb látványt 
nyújtanának reggelente az ország 


utcái, amint az emberek 
kávé után és munkafelvé- 
tel előtt leruccannának 
röpke lakóparki sétára 
egy-egy zsiráffal vagy 
elefánttal, és valószínűleg 
megnőne az ázsiója 

a köztisztasági vállalatok 
dolgozóinak; azonban 
ezzel egyidejűleg emel- 
kedne a veszélyeztetett 
és kihaló fajok száma 

— állatok és emberek közt 
egyaránt. 

Állatkerti nevelőszü- 
lőként elsősorban 

a zoo lakóinak nyújt- 
ható anyagi segítség, 
életkörülményeik, egész- 
ségük megőrzéséhez, 
javításához. Az örökbe- 
fogadó támogatásáért 
cserébe egy névre szóló 
oklevelet kap, továbbá 
szülői értekezleten 

vehet részt, melyen 
megérdeklődheti, hogyan 
s miként éldegél állati 
sarja, mivel tölti napjait 
és bendőjét. (Dicséretes, 
mennyire lelkiismere- 
tes szülőkké válnak egyesek. 

A legutóbbi értekezlet után volt, 
kinek feltűnt, hogy örökbefogadott 
pápua levelibékája soványabbá 

vált, fel is merült a gyanú, hogy 

tán nem csemetéje pislogott reá 

a terráriumban.) 

Fentiek után tehát tisztázzuk 

a kérdést, vagyis a választ: nem, 

nem tartunk pingvint a szerkesztőség 
hűtőszekrényében, és nem, nem 
szállítják házhoz a jegesmedvét. 

Még munkanapokon 16:00 és 17:00 
óra között sem... 


Halusz Léna 


Linux bevetés közben - Második küldetés 


LINUX 
EVETÉS 
KÖZBEN 


Második küldetés 


Kapcsolatok, 
megfigyelés, 


hibakeresés 


TerTzt] 
KISKÁPU 


OTREILLY 


Bill von Hagen és Brian K. Jones 


Cím: Linux bevetés közben — Második 
MIPIreletizS 
Kapcsolatok, megfigyelés, hibakeresés 
Szerző: Bill von Hagen, Brian K. Jones 
MVízle [okl ÉRT éejolV TONNA 
o CIkeézl u ESET 
Ár: 6980 Ft 


ezdjük talán rögtön a lé- 
nyeggel. Ez az a könyv, ami 
— bár csak nemrég vásárol- 


tam — már kétszer is megmentett attól, 
hogy úgy fél napot elvesztegessek 

az életemből dokumentációk olvasga- 
tására. Valami azt súgja, hogy ez nem 
lehet véletlen. 

A szerzők (Bill von Hagen és Brian K. 
Jones) mindketten tapasztalt rendszer- 
gazdák, jó néhány könyv és szakmai 
újságcikk szerzői. Saját bevallásuk 
szerint nem kívánták követni az első 
kötetben Flickenger által lerakott, 
szigorúan rendszergazdai alapokat, 
helyette inkább egy olyan kötetet sze- 
rettek volna megjelentetni, amiben 
kevesebb a kifinomult trükk és több az 
általános megoldás az gyakran felme- 
rülő problémákra. Ezen az alapvető 
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célkitűzésen kívül még néhány egyéb 
célt is szem előtt tartottak az anyag 
összeállítása során. 

Ezek közül az első azon ismeretek 
közzététele, amelyekkel szerintük 
minden magára valamit is adó rend- 
szergazdának rendelkeznie kell(ene). 
A fejezetek szervező elve ennek meg- 
felelően nem a Probléma - Megoldás 
kettősök bemutatása, hanem a Prob- 
léma — Elméleti háttér — Megoldás 
hármasok tárgyalása. 

A könyv másik fontos célja a problé- 
mamegoldó gondolkodás fejlesztése. 
Ennek megfelelően a bemutatott ötle- 
tek és megközelítések, más helyzet- 
ben, némi változtatással ugyanúgy 
alkalmazhatók, vagyis a szerzők nem 
kifogják nekünk a halat, hanem meg- 
tanítanak halászni. Bár a kiszolgálók 
üzemeltetése - általában — nem 

a Linuxszal most ismerkedők feladata, 
a fenti írói szemléletnek köszönhetően 
a kötetet a kezdők is ugyanolyan ha- 
szonnal forgathatják, mint a már ta- 
pasztalt, sokat látott rendszergazdák. 
Nézzük meg egy kicsit részletesebben, 
mit tartogat számunkra az 515 oldalas 
mű. A könyv 10 fejezetben tartalmaz- 
za az újabb 100 fogást. A tőbb témakö- 
rök a következők: 


e — Hitelesítés Linux rendszeren 
e — Távoli grafikus kapcsolatok 
e . Rendszerszolgáltatások 


e — Eszközök és ötletek rendszergaz- 
dáknak 


e — Tárfelügyelet és biztonsági mentés 


e . Erőforrások megosztása, összehan- 
golása 


e — Biztonsági eszközök és tanácsok 


e — Hibaelhárítás és teljesítménynövelés 


e Naplózás és a hálózati forgalom 
megfigyelése 


e . Rendszermentés, adatok helyre- 
állítása és javításuk 


A kötetben elméleti háttérrel kiegészít- 
ve szerepel a PAM, az LDAP, 

a Kerberos, a VNC, a CUPS, az LVM, 
Samba kiszolgáló telepítése, az rsync 
használat, NAS, DHCP, NIP, a naplózó 
fájlrendszerek használata, a /proc 
könyvtár, a sysctl, az IDS rendszerek, 
az SNMP valamint az MRTG. Esik szó 
a syslog üzeneteinek asztalra irányítá- 
sáról, a rootkitekről és a dd rescue 
programról. A rendszermentésről és az 
adatok visszaállításáról szóló fejezetet 
minden Linux felhasználónak, legyen 
akár rendszergazda vagy egyszetű ott- 
honi felhasználó, érdemes elolvasnia 
és elsajátítania az abban leírtakat, 

mert később rengeteg kellemetlenség- 
től kímélheti meg ez a tudás! 

Az írók nem átallottak olyan alapokig 
sem visszamenni, mint a /etc/inittab, 
a /etc/hosts.allow és hosts.deny fájlok, 
a top, df, ps, Isof és du parancsok, 
mindezzel egy apró, kijózanító frics- 
kát adva azoknak, akik a legegysze- 
rűbb problémákat is a legbonyolul- 
tabban próbálják megoldani. A köny- 
vet olvashatjuk a szokásos módon, 

de kézikönyvként, ide-oda lapozgatva 
is kiválóan használható. 

Kezdőként én haszonnal és nagy meg- 
elégedéssel forgattam a könyvet, re- 
mélem másoknak is segít a könnyebb 
munkavégzésben! Ha valaki 2007-ben 
csak egy szakmai könyvet akar elol- 
vasni, javaslom, ez legyen az! 





Núzeum a város szélén (2. rész) 


Folytatjuk a Januári cikkünkben elkezdett múzeumlátogatást. Ebben a részben 
már olyan gépek Is bemutatásra kerülnek, amelyeket a mai huszonéves korosz- 
tály valószínűleg már ismer vagy akár használt Is. 





múlt havi részben megnéz- 
tük a nagyvadakat, akarom 
mondani a nagyvasakat, 


most ebben a részben tehát a kisebbek 
kerülnek sorra. 


Az energiatakarékos számológép 

Az egyik személyes kedvencem a mú- 
zeumban az egyik mechanikus számo- 
lógép, melyből nekem is van egy saját 
példány. Valamikor a kilencvenes évek 
közepén tettem szert rá. 

Általában az összes ilyen mechanikus 
számológép kezelése hasonló, de le- 
írom, mert elsőre nem triviális. A gép 
baloldalán egy, a jobb oldalán két kar 
van, amit a megfelelő irányba húzva 
nullázhatjuk a kijelzőket. Mindezt per- 
sze csak akkor, ha a jobb oldalon látha- 
tó műveletvégző kar alsó állásban van. 
A gép sikeres kinullázása esetén a pél- 
da szorzást (128 x 64) a következőképp 
hajtjuk végre: a számok segítségével 
üssük be például a 128-at. lekerjük 
meg a jobb oldali kart négyszer, majd 

a baloldalon lévő narancssárga gomb 
egyszeri megnyomása után hatszor. 

Ha mindent jól csináltunk, akkor 

a jobb felső kijelzőn 64 lesz, a bal felsőn 
pedig a végeredmény. Az összeadás 

és a kivonás ennél sokkal egyszerűbb. 
A szám beírása után tekerjük meg egy- 
szer a kart (bal felül megjelenik a bevitt 
szám), majd a jobb alsó karral kinulláz- 
zuk a beviteli mezőt és beírjuk a máso- 
dik tagot. A kar egyik irányba tekerésé- 
vel hozzáadjuk, a másik irányba teke- 
réssel kivonjuk a bevitt számot. 
Mondanom se kell, áramszünet esetén gép került piacra, ilyen például a ZX A magyar iskola-számítógép 








is tökéletesen működik, unatkozó 81, a Commodore 64, illetve a magyar A külföldi gépek beszerzési nehézsé- 
irodisták pedig súlyzózhattak vele. gyártmányú Videoton TV Computer. gei miatt a magyar Videoton cég elkez- 
A 80-as években számos házi számító- Számunkra e két utóbbi lesz fontosabb. — dett iskolai számítógépeket gyártani, 
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. 3. ábra Napelemes zsebszámológép bankkártyaméretben 
a kilencvenes évek elejéről 





A CoCom lista 


mely Videoton TV Computer néven 
került az üzletekbe 32 vagy 64 kbyte 
memóriával. A gép lelke egy 3 MHz-es 
2480-as processzor. A gép tömeges el- 
terjedését a viszonylag magas eladási 
ár (az akkori ára 14-16 ezer, míg egy 
diplomás fizetése 4-5 ezer forint volt), 
. 7. ábra Sinclair ZX81 illetve a piacra kerülő Commodore-ok 
népszerűsége gátolta. 





24 








. 6. ábra BRG magnetofon, a Videoton IV Computer jellemző 
szalagos egysége 





Világhálón kalandozva egy érdekes 
projektbe botlottam: Unix Commo- 
dore 64-re. Igen, jól olvasta a ked- 
ves Olvasó. Lllnix néven elkészült 
egy Unix kompatibilis rendszer, 
azonban pár megszorítás adódik 

a gép képességei kapcsán: 

32 processz, illetve maximum 





. 8. ábra A LUnix indulása VICE emulátorban 














. 14. ábra Commodore 68 és a néhány 
különböző hajlékony lemez- 
meghajtó hozzá 


7 prioritási szint. Mindez egy 64 
kbyte memóriával rendelkező gépre, 
melynek sebessége 1 MHz. 

A gép gyártását 1994-ben befejezték, 
ennek ellenére azonban most is renge- 
teg jó állapotú kerül elő a szekrények 
mélyéről. A konstrukció sokoldalúsá- 
gát jelzi, hogy Szegeden sokáig (évtize- 
dekig) egy Commodore 64 vezérelte 

a Dugonics téri zenélő szökőkutat. 

(A zene alapján előre programozva 
változtatta a különböző vízsugarak 
magasságát.) 

A másik érdekesség, hogy a géphez 
készült kiegészítés, mellyel akár 
internetre is csatlakoztathatjuk, illetve 
hagyományos IDE merevlemezeket 

is használhatunk a ma már kevés- 

nek tűnő 170 kbyte-os hajlékony 
lemeze mellett. 





2.ú €3B.12.19365) 
CPU-TIME 
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. 9. ábra Két processz LUnixban 
(top és mem) 
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. 12. ábra Commodore gépek 











. 15. ábra Néhány Apple gép 


lalálkozhatunk olyan darabokkal is 

a gyűjtemény keretében, amelyeket 
hétköznapi ember nem nagyon hasz- 
nál. Ilyenek például a SUN és Apple 
gyártmányú gépek. Akik komolyan 
foglalkoznak Linux és BSD disztribúci- 
ókkal, annak nem kell mondanom, 
hogy ezeken a gépeken a saját operá- 
ciós rendszerük mellett (Solaris és 
Mac 05$5) a fentiek is futtathatók, 

így például egy mai szemmel fapados 
Sun Sparc Classic is beállítható akár 
otthoni szervernek. 

Persze vannak még ennél is egzoti- 
kusabb gépek, ilyen például a DEC 
gyártmányú MicroVax, illetve a fran- 
cia Telmat gyártmányú szerverek. 

A kiállított Telmat szerverek némelyi- 


b vedzj 


kéhez személyes élményem is fűző- 











. 10. ábra Commodore 64 és egy hajlékony 
lemez meghajtó 




















. 16. ábra MicroVax 


dik, hiszen 2001 tavaszán ilyenen 
ismertem meg az AIGT linix-ot. 

A mai BSD-k (Free, Net, Open) az egy- 
kori ATST Unix szabad implementációi. 


lermészetesen nem lenne teljes a mú- 
zeum telekommunikációs eszközök 
nélkül. Helyet kapott néhány külön- 
böző generációs - leselejtezett — 
telefonközpont, telefon, mobiltelefon. 
A legnépszerűbb ebben a kategó- 
riában mégis a ma is működő 
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Katicabogár 








A múzeumban megtekinthető a katicabogár is, melyet Muszka Dániel terve- 
zett és épített meg Kalmár László támogatásával 1957-ben. A szerkezet 60 centi 
hosszú, 40 centi széles, 25 centi magas. Az eszköz célja a feltételes és feltétlen 
reflexek modellezése, különlegessége, hogy mind a mai napig működőképes. 
A katicabogár viselkedését és mozgását fény, hang és fizikai kapcsolat (érintés, 


ütközés) befolyásolja. 


és kipróbálható két darab telex gép, 
melyek egymás között a múzeumban 
üzenetet is tudnak váltani. 

A telexet a legegyszerűbb egy villany- 
írógép és nyomtató párosnak elképzel- 
ni, melyek akár több száz kilométerre 
is lehettek egymástól. Minthogy a fax- 
szal szemben nem képpontok, hanem 
csupán betűk kerültek átvitelre, így 
zajos vonal esetén is meglehetősen 
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gyorsan lehetett adatot küldeni. 
lermészetesen a gyors alatt itt csupán 
100 baud körüli sebességet kell érteni. 
Ez másodpercenként körülbelül 10 
bájtnak felelt meg. A megvalósítás 
előnye a korábbi távírógépekkel 
szemben: használatához nem kellett 
ismerni a Morze ABC-t. 

Ezzel véget ért a múzeumlátoga- 
tásunk. Nyilván minden kiállított 


Látogatás és támogatás 

Mint minden non-profit vállalko- 
zás, így az Informatikatörténeti Mú- 
zeum Alapítványa is szívesen fogad- 
ja a támogatásokat, felajánlásokat, 
legyen az munka vagy anyagi jelle- 
gű. Anyagi jellegű támogatást az 
Alapítvány számlájára utalhatunk 
(11670009-07803500-70000002), 
végül pedig befizetett személyi 
jövedelemadónk (SZJA) 170-nak 
felajánlásával is támogathatjuk 

a alapítványt. Ebben az esetben 

a rendelkező nyilatkozatra ezt 

a számot írjuk: 18036170-1-01 
Segítség felajánlását és látogatási 
igény bejelentését a múzeum hon- 
lapján (2 http://www.infmuz.hu) 
található elérhetőségeken várja 

dr. Bohus Mihály, Csorba Béla 

és dr. Muszka Dániel. 


darabról szólhatna egy-egy cikk, 

de történelemből egyelőre elég ennyi, 
hiszen képek és elbeszélések alapján 
elég nehéz megtapasztalni az infor- 
matika múltját. Érdemes tehát min- 
denképp meglátogatni a múzeumot. 
Egyszer legalábbis. 

Végül pedig ha a szekrényben 

vagy a padláson porosodik egy-egy 
ritka informatikatörténeti relikvia, 
amit már az Olvasó nem szívesen 
pakolgat, de kidobni sajnálja, akkor 
annak itt a helye. 


NOTT THY Ta 


Videoton IV Computer 
2 http://tvce.homeserver.hu/ 


Informatikatörténeti Múzeum 
2 http:/Awvww.infmuz.hu/ 


EM 
2 http://lng.sourceforge.net/ 
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y 
Egyszerű weboldala 
se ait, MET! gép TÁN 


Et 


DocAook XIVIL és CS. 


Hogyan építsünk egyszerű tartalom- 
szolgáltató weboldalakat DocBook XML 


és CSS használatával? 
: cióinkat könnyen elérhetővé tudjuk tenni. Manap- 
ság a webfejlesztők a stílusra és a marketingre kon- 

centrálnak, mégis ugyanúgy jelen van az igény a könnyen 
és gyorsan összeállítható weboldalak létrehozására, mint 
amikor Tim Berners-Lee először megálmodta a HIML 
szabványt. Az ő szemléletét vettem át a DocBook XML 

és a CSS használatával, illetve kerestem néhány könnyen 
elérhető linuxos eszközt, melyek lehetővé teszik, hogy 
egyszerű, tartalomra koncentráló weboldalakat hozzak létre 
— a ,szegény ember tartalomkezelő rendszerét". 
Beágyazott szoftvereket fejlesztek. A HTML, az XML, 

a CSS és maga a web általában nem lényeges a munkám- 
hoz. Nem vagyok olyan bensőséges viszonyban a HIML 
szabvány furcsa kiszámíthatatlanságával, mint a pro- 
cesszorokkal, hálózati csatolókártyákkal, soros portokkal. 
Mégis, ma mindenbe beszivárog a világháló. Egy beágya- 
zott processzor Linux alatti futási képességeiről gyakran 
úgy győződünk meg, hogy rákeresünk az interneten. 

Én az ügyfeleimet, s ők engem a világhálón keresnek meg. 
Bár a JavaScript, a böngészőfüggetlen HTML, a CSS, PHP, 
Ruby on Rails stb. szaktudás nem túl lényeges, mégis, egy 
bizonyos szintű HIML ismeret (illetve néhány alapvető 
eszköz használatának képessége, amivel egyszerű, de hasz- 
nos weboldalakat lehet gyártani) egyre inkább elengedhe- 
tetlen a szoftverfejlesztéshez csak úgy, mint sok más mun- 
kához. A DocBook XML eszközt ad a kezünkbe, amivel 
a tartalomra koncentráló dokumentációt tudunk készíteni, 
oly módon, hogy ezt sokféleképpen, például weboldalakon 
is könnyedén fel tudjuk használni. 


redetileg arra találták ki a világhálót, hogy informá- 





j 
A 


Ez a megközelítés számos összetevőből áll, melyek nem tel- 
jesen függetlenek egymástól. Még ha nem is fogadható el 
általánosságban a szemléletmódom, egyes részei könnyen 
kiemelhetőek és használhatóak más összefüggésben is. 
Magamat szoftveres eszközöket használó embernek tartom. 
Valószínűleg van számos webes fejlesztőkörnyezet, amely 
mindent megcsinál, ha megismeri valaki a használatát. 
Bizonyára van erre számos Eclipse bővítmény is. A haté- 
kony célszerszámoknak azonban általában meglehetősen 
meredek tanulási görbéje van, ami csak akkor kifizetődő, 
ha sokat dolgozik valaki az adott eszközzel. 

Ez a cikk nem a DocBook XML-tről szól, hanem arról, hogy 
hogyan építsünk egyszerű módon weboldalakat, melyek 
DocBook XML szerkezetéhez a megjelenítést CSS adja meg. 
Nem vagyok webfejlesztő, és olyan eszközök megtanulásá- 
ra vállalkozom csak, melyek széles körben elterjedtek. Azaz: 
vim a szerkesztőprogramom, m4 vagy Perl a makrófeldolgo- 
zóm és HTML tidy segítségével ellenőrzöm a helyes szinta- 
xist — azaz ugyanazokkal az eszközökkel írom a szoftvert, 
mint amivel a dokumentációt. Az elmúlt néhány év folya- 
mán az alap XML-t, különösen is a DocBook XML-t egyre 
inkább az alapvető ismereteim közé soroltam be. 

Egy egyszerű DocBook XML cikk szövegsablont mindig ké- 
szenlétben tartok a vimben, hogy egyből elő tudjam venni, 
ha indíttatást érzek valami olyan technikai szöveg megírá- 
sára, ami hosszabb egy e-mailnél. A DocBook XML sablon 
használatával a tartalomra, a lényegre tudok koncentrálni. 
Világos és kifejező dokumentumokat tudok készíteni anél- 
kül, hogy különösebb erőfeszítésbe kerülne a megjelenítés. 
Nemrégiben fedeztem fel, hogy némi CSS segítséggel 

a DocBook XML dokumentumok közvetlenül megte- 
kinthetőek bármely CSS-képes böngészővel — mindenféle 
HTML-Ilé alakítás nélkül, ami nagyban megkönnyíti 

a weboldalamon történő publikálást. Bonyolultabb szöve- 
gek esetén pl. az OpenOffice.org-ból is lehet DocBook XML 
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kimenetet előállítani. Egyre több alkalmazás képes mani- 
pulálni és előállítani DocBook XML formátumot, például 

az OpenOffice.org közvetlenül tudja ezt olvasni, sőt tetsző- 
leges elterjedt formátumba át is alakítja, mint például 
HTML, PDF, Microsoft Word stb. Az XML egyik fő célja 
(melyet meglehetősen nehéz lenne tetten érni az egymással 
versengő XML alapú szövegszerkesztő-formátumokban) 

a tartalom és megjelenés elkülönítése. Szívemből tudom 
támogatni ezt az alapelvet. 

A weboldalakon meg szoktam különböztetni navigációs 

és tartalmat mutató részeket. Ezeket szándékosan, fájl 
szinten is elkülönítem egymástól. A tartalomra koncentráló 
weboldalak legtöbbször nem igényelnek a navigációt, 
különálló dokumentumként működnek. Ma már ezeket 
DocBook XML-ben írom meg. Régebben a HTML szabványt 
használtam, de akkor is törekedtem arra, hogy a tartalom és 
a navigáció ne keveredjen. Első lépésben egy HTML alapú 
megjelenítő és navigációs keretrendszert hozok létre. 
Elkészítem a weboldal HTML indexfájlját, amelyben HTML 
kereteket (frame) használok a három részegység: a fejléc, 

a menü és a fő rész elkülönítéséhez. A keretek a legtöbb 
webfejlesztő szemében nem számítanak szalonképes 
megoldásnak, talán azért sem, mert könnyen elérhető 
velük olyan megjelenítés, hogy a más által elkészített 
honlaptartalmat valaki a sajátjaként tálalja. A navigációt is 
gátolja a használatuk, és a fogyatékkal élő embertársaink 
számára is kevéssé barátságosak. Mindazonáltal én nem tu- 
dok ehhez mérhető weblap-összeállító módszerről, amellyel 
a navigáció és a megjelenítés ilyen egyszerűen, frappánsan 
elkülöníthető lenne. Vannak eszközök, melyekkel hasonló 
hatások érhetőek el, de az általam ismertek mindegyike 
beolvasztja a navigációs és a megjelenítési elemeket a , tar- 
részeit DocBook XML struktúrában tudjam fejleszteni, me- 
lyet csak néhány stíluslap erejéig módosítok. Fontos szá- 
momra, hogy valahol máshol különüljön el egymástól 

a megjelenítés és a navigáció. 

Van egy másik eretnek mellékhatása is ennek a megközelí- 
tésnek: nevezetesen az, hogy egyáltalán nincs szüksége 
webszerverre. Mindezt egyetlen böngésző segítségével is 
fel lehet építeni, ki lehet próbálni — nem kell webszervert 
telepíteni. Amikor készen vagyunk, csak kiírjuk az egészet 
egy CD-re, és bárhol megtekinthető az eredmény egyetlen 
webböngészővel. 

Az index oldalam lényegében ennyi: 


cframeset class-"frame" cols-"140,"7" bordercolor- 
sz 000000" 
frameborder-"0" framespacing-"0"5 
cframe class-"frame" src-"margin.htmil" 
5 name-"Margin" scrolling-"no" 
marginwidth-"0" marginheight-—"0" 
cframeset class-"frame" rows-"100,7"" 
s bordercolor-"4000000" 
frameborder-"0" framespacing-"0"5 
cframe class-"frame" src-"header.html" 
5 name- "Header" scrolling- "no" 
marginwidth-"0" marginheight-"0" /: 
cframe class-"frame" src-"home/index.xml" 
53 name—- "Body" scrolling-"auto" 


marginwidth-"0" marginheight-"0" frameborder- 
ty 0" /2 

c/frameset: 
c/frameset: 


Ez három részt határoz meg a böngésző felületén. A me- 

nü van baloldalt, a fejléc fent és a tartalmat hordozó fő rész 
a tennmaradó (jobb alsó) területen. Fontos szerepe lesz a to- 
vábbiakban a name által meghatározott címkéknek (margin, 
header, body), hiszen ezzel hivatkozhatunk majd rájuk. 

A fejlécem meglehetősen visszafogott, alapvetően csak 
ennyi: 


cbody class-"header" 1d-"body-header"5 
cdiv class-"header"5 
ch1 class-"header"5My Titlec/h1: 
c/div: 
c/bodyz 


A class és az id kulcsszavak teszik majd lehetővé 
a stílusok alkalmazását a CSS révén. 

A menüsáv számára létrehozott margó is hasonlóan 
egyszerű: 


cbody class-"margin" 1d-"body-margin"5 
cdiv class-"menu-box"5 
cdiv class-"menu" 1d-"home"5 
ca href-"home/index.xmi" 
5 target-"Body"5Homec/az 
c/div: 


c/div: 
ca/bodyz 


A class és az id kulcsszavak megint csak a CSS stíluslapok 
alkalmazhatóságát szolgálják. Minden menüpontot körül- 
veszünk egy menu-box stílusú téglalappal — ezeket tetszőle- 
ges számban ismételhetjük egymás után. Ennek stílusát 
egyéni ízlésünknek megfelelően bármikor átalakíthatjuk 

a CSS segítségével. A kódrészlet szerint a hivatkozás tartal- 
ma a menüpontokban megadott célpontban (target), azaz 
a "body" címke által meghatározott keretben (a keretrend- 
szer fő részében) jelenik meg, lecserélve az ott korábban 
megjelenített tartalmat. 

Az alábbi CSS kódot használom a kivilágítható menügom- 
bok előállítására: 


div.menu-box í 
display: block; 
border-width: 2pt; 
border-color: color bkgr !important; 


border-style: inset ; 
3 
div.menu í 
border-style: inset ; 


border-width: 5pXx ; 

background: color menu bkgr1 !important; 
border-color: color menu bkgr !important; 
color: color bkgr !important ; 

font-w eight: bold; 








font-size: 8pt; 

height: 1l4pt ; 

width: 110pt; 

vertical-align: middle; 

x-margin: Spt; 

x-padding: Spt; 

text-align: center; 

padding-left: Spt; 
J 
div.menu:hover í 

position: relative; 

top: 1px; 

left: 1px; 

border-color: color menu bkgr1; 

background-color: color menu bkgr; 
J 
a.menu í text-decoration: none j 
Ezek tehát a nem-tartalmi rész kulcsfontosságú összetevői. 
A menüsávok hierarchikusan egymásba ágyazhatóak. 
Egyegy menüpont céljának (target) margin-ra állítása azt 
eredményezi, hogy a hivatkozott tartalom (praktikusan egy 
másik menürendszer) az oldalsó margó sávjában, azaz az 
eredeti menürendszer helyén jelenik meg. Ez a menüvál- 
tás akárhányszor megismételhető. A Microsoft Internet 
Explorer CSS kezelése (különösen is a pozicionálás) sajnos 
esetenként hibás, így a használatakor némi megjelenítésbeli 
eltérés észlelhető a megfelelően működő böngészőkhöz ké- 
pest. Böngészőfüggetlen pozicionálás ugyan megoldható, 
de szörnyen bonyolult - az is nehezíti, hogy az MSIE 7-es 
verziója úgy old meg több CSS kérdést, hogy a legtöbb ko- 
rábbi probléma-megkerülés használhatatlanná válik. 
A háttérszínekkel kapcsolatban is óvatosságra intenék 
mindenkit. Életem egy szakaszát azzal töltöttem, hogy 
próbáltam kitalálni, miként lehet kiküszöbölni azt a kis 
fehér csíkot, ami a menüsáv és a fő rész között keletkezik 
a Microsoft Internet Exploreren, amikor háttérszínt állítok 
be - de hiába. Ez a cikk nem arról szól, hogy hogyan 
váljunk szakértőkké a különleges böngészőfüggetlen 
webfejlesztés terén, hanem egy egyszerű utat ajánl 
a tartalom szép megjelenítéséhez, függetlenül attól, 
hogy milyen böngészőben nézik. A pixelről pixelre meg- 
egyező, böngészőfüggetlen CSS megoldások számos 
böngésző számára igen nagy kihívást jelentenek. 
Eddig nem szóltam a HTML fejlécről, sem olyan apró- 
ságokról, mint például az, hogy a color menu bkgr nem 
HTMLJ/CSS szín, holott a kódban úgy szerepel, mintha 
az lenne. 
HTML oldalaink, mint az index.html, a header.html 
és a margin.htmi érvényes HTML fejlécet igényelnek, 
amiben egy vagy több hivatkozás is szerepel a kívánt CSS 
stíluslapra, például ennek megfelelően: 


alink rel-"stylesheet" type-"text/css" 
5 href-"/css/stylesheet.css" 
title-—"default"5 


A korábban idézett CSS részlet éppen ebben 
a stylesheet.css-ben található. Ez a kód hívhat még egyéb 
CSS fájlokat is, amikre pl. azért lehet szükség, hogy egyes 


alapértelmezett DocBook CSS értéket felülírjunk vagy kiegé- 
szítsünk. Számos CSS stíluslap elérhető a DocBook XML 
számára -— ezek közül néhány a DocBook Wiki oldalakon 
szerepel. Magam a badgers-in-foil-t használom 

(lásd a cikk végén, a hivatkozások közt). A badgers-in-foil 
stíluslap tette lehetővé számomra, hogy különösebb 
erőfeszítés nélkül jelenítsek meg DocBook XML cikkeket 
különböző böngészőkben. 

Minden XML oldalon két stíluslap-hivatkozást kellett 
beillesztenem az XML fejlécbe: 


c?Xxml-stylesheet href-"/css/docbook- 

5 css/driver.css" type-"text/css"?s 
c?xml-stylesheet href-"/css/stylesheet.css" 
5 type-"text/css"?s 


A második sor nem feltétlenül kötelező, de erősen ajánlott: 
ennek révén lehetséges az eredeti DocBook XML stílusla- 
pok alapértelmezett értékeinek kibővítése vagy felülírása 
anélkül, hogy megváltoztatnánk az eredeti stíluslap-fájlt. 

A keretrendszer, az XML, a HTML körítések és számos 
ismétlődő összetevő előállítására m4 makrófeldolgozót 
használok. A feladat hasonló könnyedséggel elvégezhető 
lenne Perl vagy bashjsed segítségével is. Ez teszi lehetővé 
számomra standard fejlécek, színek és más szövegrészek 
ügyes helyettesítését m4 makrók segítségével. Például 

a color bkgr is egy m4 makró, amely lehetővé teszi az 
ugyanilyen nevű szövegrészek lecserélését az általam 
választott háttérszínre a honlaprendszer összes oldalán. 
Ugyanazt a keretrendszert használom fel újra és újra, ami- 
kor egy-egy új honlap elkészítésére kell vállalkoznom. Ha 
egy új honlapot eltérő tartalommal, címekkel, színekkel sze- 
retnék elkészíteni, akkor néhány változtatást kell eszközöl- 
nöm a makrókon. Ezek aztán addig bonyolódtak, míg végül 
azon kezdtem gondolkozni, hogy az előfeldolgozást illetően 
átálljak Perl használatára az m4 helyett. Remek lehetőség- 
nek tartom a feldolgozást követően a HTML tidy általi el- 
lenőrzést, mivel az XML és a HIML kód előállítását auto- 
matizáltan végzem, és ez rejthet buktatókat. 

Először is telepítenünk kell a HTML tidy és m4 programo- 
kat. Alapvetően Debiannal és leszármazottaival dolgozom, 
így a telepítés számomra ennyiből áll: 


apt-get install tidy 
apt-get install m4 


A legtöbb disztribúció előre csomagoltan tartalmazza az 
m4-et és a HIML tidy-t, de ha forrásból szeretné valaki 
lefordítani, akkor e programok honlapja megtalálható 

a cikk hivatkozásai közt. 

Haladjunk tovább: egy pages.list nevű szövegfájlból 
indulok ki, amely az egyes oldalak alapneveit hordozza 

a megfelelő típussal együtt, ami lehet CSS, HIML és XML. 


stylesheet, css 
1index,html 
header ,htm] 
margin,html 
home , xm] 





Az m4 és HTML tidy futtatására egy rövid héjprogramot 
használok. Ez minden oldalt végignéz, és — hacsak nem fut 


Pb 


hibára — előállítja a kívánt eredményt a megfelelő fájlokba: 


$1!/bin/sh 
f $Id: 
ft $URL: 
fdest-—../test 
dest-. . 
lname-pages. list 
dopage0) í 
echo "$1" 
if [ "$2x" -—-— "xmilx" 1]; then 
if ! L -d $dest/$1 1]; then 


mkdir $dest/$1 
fi 
m4 -D xml] $1.m4 
s index.xmil 
elif L "$2x" -- "htmlx" ]; then 
m4 $1.m4 ] tidy -i 5$dest/$1.html 
elíif L "$2x" -- "cssx" ]; then 
m4 -D css $1.m4 5/var/ww/share/css/$1.css 
else 
echo "whoops $1 $2" 
fi 
J 
if L -f $lname 1]; then 
list- cat $]name I] grep -v "$" I 


] tidy -i -xmil s$dest/$1/ 


awk "íprint 


9 $1)" J tr e PT 

for argv in $list ; do 
page—""; fmt-"" 
page- echo $argv I awk -F "7," "íprint $13". 
fmt- echo $argv I] awk -F "7," "íiíprint $21". 


dopage $ípaget $ífmti 
done 
fi 


Ezzel az m4 révén a standard fejlécek, a stíluslapokra 
mutató hivatkozások, a makróhelyettesítések és a szí- 
nek helyettesítése stb. megoldódott, sőt még maguk 

a menüpontok is automatikusan állíthatóak elő a meg- 
felelő makrókkal. 


A fejléc részért felelős header.m4 fájl így fog tehát kinézni: 


define( page, header) dni! 
include(defs.m4)dnil 
include(hdr.m4)dn! 
cdiv class-"header"5 

cah1 class-"header"5 titlec/h1s 
c/div: 
include(ftr.m4)dn! 


Mint már szó volt róla, nem szükséges webszerver ahhoz, 
hogy ezeket a keretrendszereket vagy az előállított tartal- 
mak bármelyikét meg tudjuk nézni. A weboldalak megjele- 
nítését azonban többnyire webszerver végzi. Ennek beállí- 
tásaiban tulajdonképpen semmit sem muszáj megváltoztat- 
ni; mégis, ha az alábbi CSS-beállító sorokat beillesztjük 

a /etc/apache2/conf.d megfelelő fájljába, akkor ezzel létreho- 


zunk egy megosztott CSS könyvtárat. Ennek révén több 


weblap is tudja majd használni ugyanazokat a stíluslapo- 
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fájlrendszerében. 


Alias /css /var/ww/share/css/ 
áLocation /cssz 

order allow, deny 

Allow from all 

Options Indexes FollowSymLinks MultiVviews 
ca/Locationsz 


Amit itt láttunk, az egy szoftveres eszközökre építő megkö- 
zelítés. Ha valaki csak néhány weboldalt készít el minimális 
tartalommal, nyilván nincs értelme a HIML, XML tájlok 
vagy a fejlécek, láblécek automatikus előállításával bajlódni. 
Ha viszont megnő a szolgáltatott tartalom mennyisége, 

a változtatások gyakorisága, vagy sok különböző honlapot 
kell létrehozni, akkor már meghálálja magát az automatizá- 
lásra szánt idő. 

Igazából alig érintettem a DocBook XML-t. A szövegfeldol- 
gozást már középiskolás éveim alatt elkezdtem egy H8-as 
gépen, olyan formázóprogramok használatával, mint 

a runoff, nroff és text. A tartalom és megjelenés elkülö- 
nülése számomra nem más, mint magától értetődő vissza- 
térés nem-ALAKHŰ (nem-WYSIWYG) gyökereimhez. 

(A betűszó fantáziadúsan magyarított jelentése: Azt Látod, 
Amit Kapsz, HŰen.) 

Az XML alapú dokumentumok ALAKHŰ feldolgozását tá- 
mogató eszközök is léteznek. Ha kényelmesebbnek tűnik 
az ALAKHŰ szövegszerkesztő, akkor a legkézenfekvőbb 
OpenOffice.org-ot használni, mely DocBook XML formá- 
tumban is tud menteni. Azonban az OpenOffice.org 
DocBook XML képességei sem korlátlanok. Amikor egy 
szépen megformált OpenOffice.org vagy Microsoft Word 
formátumú fájlt DocBook XML struktúrájúvá alakítunk, 

a megjelenés néhány jellemzője megváltozhat. A normál 
DocBook XML szabvány sokkal inkább a tartalmat és 

a struktúrát veszi célba, semmint a megjelenítés részleteit. 
Az OpenOffice.org nem társít stíluslapot az elmentett 
DocBook XML dokumentumhoz, így néhány stíluselem 
(mint pl. a betűtípus, a betűméret, a beljebb kezdés mérté- 
ke stb.) csak a felhasználó által használt DocBook XML 
CSS alapján helyettesítődik be. Ha ez nem megfelelő, 
akkor módosítható vagy felülbírálható a stíluslap egy új, 
,sorba kapcsolt stíluslappal" (innen az angol név: 
Cascading Style Sheet, CSS), melyben a kívánt értékek 
vannak megadva. 

Ahogy korábban említettem, a magam részéről teljesen 
elégedett vagyok a badgers-in-foil stíluslappal. Ehhez alig 
kellett hozzányúlnom. Inkább az a célom, hogy minél 
fájdalommentesebben készíthessem el jól olvasható doku- 
mentumaimat, majd ezek átkerüljenek egy honlapra vagy 
más, igény szerinti formátumba. Arról is szó esett már, hogy 
többnyire egyszerű DocBook XML cikk sablonból szoktam 
kiindulni, melybe a szövegtartalmat egyszerűn Vim segítsé- 
gével írom be. Ez a sablon a DocBook XML-nek csak igazán 
minimális részét alkalmazza. Néhány XML alapelvtől elte- 
kintve (mint pl. a kezdő és záró kulcsszavak illeszkedése) 
az általam beírt szöveg sem tartalmaz a triviális formázá- 
sokon túl szinte semmit. 





Gyakorlott DocBook XML használók az XML struktúrák 
egész arzenálját vethetik be, de a kezdők is egyre kifino- 
multabb írásműveket készíthetnek, apránként megismerve 
a használható kulcsszavakat. Megítélésem szerint 

a DocBook XML-t sokkal könnyebb használni, mint 

a HTML szabványt. Mivel az XML mereven ragaszkodik 

a kezdő és záró kulcsszavak egyeztetéséhez és a beágyazás 
szabályaihoz, így alig lehet váratlan következetlenségbe 
botlani. A struktúra és a megfelelő szövegfelépítés az XML 
dolga (felsorolások, táblázatok, bekezdések, fejezetek, sza- 
kaszok stb. jelölésével). A megjelenítésre és látványra vo- 
natkozó információk már a stíluslapokból derülnek ki. Hoz- 
záértő CSS fejlesztők kezei közt az egyszerű DocBook XML 
cikkek elegáns öltözetet nyernek. A célom azonban még- 
sem elegáns dokumentumok és weboldalak készítése, ha- 
nem a szövegtartalmak megjelenítése kifejező és olvasható 
módon, könnyen és gyorsan, különböző formátumokban. 
A DocBook XML egyre növekvő népszerűségnek örvend 

a webes dokumentum-formátumok között. Számos nyílt 
forrású projekt, mint például maga a Linux kernel is egyre 
inkább a DocBook XML-re támaszkodik, hiszen ez egy stan- 
dard dokumentációs forma. A Linux Dokumentációs Projekt 
ajánl egy szerzői útmutatást és egy minta cikksablont, amit 
gyakran használok magam is, csak úgy, mint más online 
DocBook XML forrásból beszerezhető sablont. Eric 
Raymond ,DocBook mítosztalanító HOGYAN" -ja ( DocBook 
Demystification HOWTO") kitűnő magyarázatot ad arra, 
miért fontos a DocBook XML, és miért alkalmas arra, hogy 
a legtöbb nyílt forrású dokumentációs formátum helyébe 
lépjen. Michael Smith könyve, a , Fogadd meg a tanácsom: 


Tanfolyam neve 
OKJ Rendszerinformatikus 


esti 


OKJ Rendszerinformatikus 


levelező 


Linux rendszergazda kezdő 
Linux rendszergazda haladó 
Apache és Postfix kezdő 





Ne tanuld meg az XML-t" ( lake My Advice: Dont Learn 
XML") ehhez hasonlóan értékes: elmagyarázza, hogy 

a DocBook XML érdemben való használatához nem kell 
XML-profivá válni, sem a témához közel álló XML techno- 
lógiák özönét mélységében megismerni. Norman Walsh 

és Leonard Muellner Alapvető Kalauz" (,The Definitive 
Guide") című műve sokkal több mindent elmond, mint ami- 
re valaha is szükségünk lesz, valamint beszél néhány fontos 
mozzanatról olyan esetekben, amikor kifinomult DocBook 
XML használatba kezdünk bonyolódni. Végül remélem, 
hogy ez a cikk is világossá teszi, hogy a DocBook XML 
hatékony használata nem bonyolult, és csak minimális 
mennyiségű új ismeret megtanulását igényli. 


Linux Journal 2006., 151. szám 


tn tdd E kÉT 


2 www.linuxjournal.com/article/9263 





Óraszám ! Tandíj 


Áfa mentes 
350 óra 


340 00,- Ft 
Afa mentes 


62 500,- Ft -4- Áfa 
JVU,- Ft 


, 


8 fa 


Apache és Postfix haladó 
LPI 101-102 nemzetközi 


vizsgafelkészítő 


(1 db ingyenes vizsgával) 


A tanfolyamok nappali, esti és hétvégi idők 
is indulnak 


ta 
eg. 


A tanfolyamokat egyedi tematik 


is megtartjuk! 
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Programozzunk Pythonban 4-2. rész) 


A szolid óriáskígyó 


; Jai 
Használtunk egyszerű műveleteket 
korábbi példáink során is, nézzük, 
mit tartogat még számunkra a Python. 
Az osztással már találkoztunk, pon- 
tosítsuk kissé a már megismert adat- 
típusok segítségével tudásunkat: 


/ — az osztás eredménye, egész 
számot ad, ha egész számokat kap 
bemenő értékként, egyébként lebegő- 
pontos eredményt kapunk 

96 — az osztás maradéka, ugyanolyan 
logikával dolgozik, mint az előző 

// — az osztás egész számú eredmé- 
nye, lebegőpontos számok osztásakor 
is mindig egészekre kerekít 


Azaz például: 

a-10.2 

b-5 

print(" azb-" ) , axzb feredménye 
0.2 

print("a/b-" ) , a/b feredménye 
2.04 

print("a//b-") ,a//b tferedménye 
f2.0 


A számok világánál maradva megemlít- 
hetjük még a hatványozást, melyet a §" 
jellel tudunk használatba venni, azaz 
például 13""2 jelenti 13 négyzetét. 

A korábbi, mindennapokban is általá- 
nosan használt matematikai művelete- 
ken túl a Python természetesen támo- 
gatja az informatika világára jellem- 
zőbbeket is. Úgynevezett bitszintű 
művelet a 5: és a cc, előbbi jobbra tol- 
ja el a biteket, utóbbi balra. Megértésé- 
hez a kettes számrendszer alapjait kell 
kissé megismernünk, ami nem olyan 
bonyolult, mint hinnénk, csak egy 
csepp gondolkodást igényel. 

A helyiértékek fogalmával már 
biztosan találkoztunk tízes számrend- 


32 


szerben, ebből induljunk most ki, 
vegyük például a 169-es számot: 
169 jelentése: 17100 -- 6710 -- 971 
másképp megfogalmazva 1710? -- 
610 FSI 


Szemléletesen: 
számjegy: LIL. 6 9 
helyiérték: 10?" 107 109 


azaz a tízes számrendszerben 

a helyiértékek 10 megfelelő hatványait 
jelentik, jobbról balra haladva folya- 
matosan növekedve (mindig 10" az el- 
ső jobbról, majd balra haladva 107 kö- 
vetkezik, utána 10" , 10" stb.), s ezeket 
szorozzuk meg a számrendszerben 
érvényes számjegyek (0-9) egyikével. 
Kettes számrendszerben is gondolkod- 
hatunk ugyanígy, azaz kettő megfelelő 
hatványai következnek jobbról balra, 

s ezeket kell szoroznunk a számrend- 
szerben érvényes számjegyekkel, me- 
lyek jelen esetben 0 vagy 1 lehetnek. 
Jobbról balra haladva a helyiértékek 
így alakulnak, segítségképp a legalsó 
sorban kiszámolva őket: 


számjegy: [0] (17 [01] [11101 (11 [01 101 [11] 
helyiérték: 28 27 2 7 229 222 
helyiérték: 256 128 64 32168 4 2 1 


Ha egy tízes számrendszerbeli számot 
kell átváltanunk, akkor azt kell meg- 
néznünk, melyik az a legnagyobb 
szám ezek közül, amely még osztható 
vele — annak a helyiértékén 1-es szám- 
jegy fog szerepelni —, majd az osztás 
maradékát újra el kell osztanunk kettő 
hatványai közül azon legnagyobbal, 
mely még éppen osztója a maradék- 
nak - az ennek megfelelő helyiértékre 
15 1-et írunk —, s az osztás maradéká- 
val ugyanezt kell tennünk egészen 
addig, míg olyan osztót nem kapunk, 


mely maradék nélkül megvan az ép- 
pen aktuális számban. Nézzük lépés- 
ről lépésre mindezt a 169 esetén: 
Melyik az a legnagyobb kettő hatvány, 
ami még osztja? 128. lehát a 128-nak 
1-est írnunk, azaz jobbról a 8. szám- 
jegy már megvan. Az előtte lévő pozí- 
ciókon biztosan 0 szerepel (körülbelül 
úgy, mintha tízes számrendszerben 
azt írnánk 0000000000000128, ami 
ugyanaz mint 00128 és természetesen 
egyenlő 128-al). Ezekre a bevezető 
nullákra csak akkor van szükség, ha 
például kifejezetten 16 számjeggyel 
akarjuk ábrázolni a számot, kettes 
számrendszerben ugyanennyi szám- 
jegy esetén ezt úgy hívják, hogy 16 bi- 
ten ábrázoljuk. A bevezető nullákat 
kiírva, és a még ismeretlen helyiér- 
téken lévő számjegyeket x-el jelölve 
ennyi biztos már az ábrázolásból: 
000000001xxxxxxx 

Előző osztásunk maradéka 41, így 
most ehhez keressük a legnagyobb 
még osztónak megfelelő kettő hat- 
ványt. Ez a szám a 32, ami egyben 

azt jelenti, hogy jobbról a hatodik 
helyiértéken is 1-es szerepel, s mivel az 
osztandók egyre kisebb számok, ezért 
az előző helyiérték és e között lévő 
számjegyek már biztosan nem jönnek 
szóba, tehát azok 0-t vesznek fel: 
00000000101xxxxx 

Az előző osztásból maradt 9, az ehhez 
legközelebbi helyiérték a 8 lesz, azaz 
jobbról a negyedik pozícióba is 1-et 
írunk (s 0 kerülne az előző pozíciójú 
számjegy és e közé - ha lenne ilyen): 
0000000010101xxx 

1 kettő hatványos osztóját keresve 
feltűnik, hogy ez az 1 és ezúttal nincs 
maradék, ami módszerünk szerint 

az is jelenti, hogy végeztünk, azaz 
0000000010101001 





állapotból tovább már nem léphetünk. 
Így a 169 kettes számrendszerbeli meg- 
felelője 16 számjegyet felhasználva 

(16 biten ábrázolva) 0000000010101001. 
Ha nem ragaszkodnánk a l6bithez, 
akkor rövidebben (8 biten ábrázolva): 
10101001. 


Négyzetrácsos papír helyett monitor 
Írjunk egy rövid programot Pythonban 
az előző munkamenet alapján, ami 
helyettünk a tízes számrendszerből 


átváltja az adott számot kettesbe: 


szam-169 
bitek szama-8 ftazaz hány 
ft biten ábrázoljuk a számot 


for 1 in range(bitek szama,0, 
s.-1): 

bit-szam//2"7"(1-1) fa 
ft kiírandó számjegyek balról 
ft jobbra haladva 


print bit, fkiírjuk a 
f kiszámolt értéket, majd 
szam-szamg27"7"(1-1) fa 


f maradékkal folytatjuk a 
f ciklust 


A programban van egy számunkra még 
ismeretlen vezérlési szerkezet, mely le- 
hetővé teszi, hogy addig ismétlődjön 

a számjegybitek kiszámítása, amíg ki 
nem írtunk a bitek szama változóban 
beállított mennyiségű számjegyet. Való- 
jában nem is egy, hanem két egymásba 
ágyazott szerkezetről van szó, melyből 
a for több programnyelvben általáno- 
san használt ciklusvezérlő. A Python 
kissé más logika szerint használja mint 
például a C nyelv, inkább egy karakter- 
lánc (string) típusú felsorolás, lista ese- 
tén tudnánk hatékonyan kihasználni 
képességeit, mivel előre megadott érté- 
kek mentén képes ciklust szervezni. 
Például a következőképp tudunk 

egy lista elemein végigmenni, 

és kiíratni azokat: 


listank-[1, "kutya", 

513, "pingvin"] 

for ciklusvaltozo in listank: 
print listank 


"macska" , 


Ha pedig csak arra lenne szükségünk, 
hogy egytől százig írja ki a számokat 
az értelmező, akkor legegyszerűbben 
talán így kérhetnénk tőle: 


range(100) 


Gyakorlatilag csak a felső korlátot ad- 
tuk meg, a kezdőértéket (1) és a lépés- 
közt (1) a beépített függvény , kitalál- 
ta". lermészetesen megadhatunk más 
záróértéket és lépésközt, ezt tettük 

a példaprogramban is, azaz a ciklus- 
mag számol visszafelé (lépésköz -1) 
egészen 0-ig, a megadott bitek szama 
változótól kezdve, s az éppen aktuális 
értékét az i változóban tároljuk. 

A kettes számrendszer fent részlete- 
zett logikájából következik, hogy a 8 
biten ábrázolható legnagyobb szám 
25-D, ezért láthatjuk azt, hogy a cik- 
lusban már csak 27". hatvánnyal 
osztunk. 

A print bit, utasítás után szereplő 
vessző szándékos, segítségével 

a számjegyek nem sorban egymás alá 
(különben a print automatikusan 
sortöréssel dolgozna, mintha Mn sor- 
végjelet kapott volna), hanem szóköz- 
zel elválasztva egymás mellé kerülnek 
a jobb átláthatóság érdekében. Igazi 
megoldást (szóköz nélkül, egy szám- 
ként látszódva ábrázolni) a print 
helyett más függvény használata je- 
lentene, erre a későbbiekben kitérünk. 


Túlcsordulunk 

Mi történik, ha kevesebb biten próbál- 
juk meg ábrázolni a számot, mint 
amennyit az igényelne? Ha például 

a bitek szama változó értékét 4-re ál- 
lítjuk, a következő eredményt kapjuk: 
21001 


Mi változott az eddig jól működő 
programban? Semmi, pusztán elfelej- 
tettünk felkészülni a megszokott nor- 
málistól eltérő szituációkra. A prog- 
ram futtathatóságát, azaz nyelvtani 
helyességét illetően nincs aggályunk 
(szintaktikailag helyes), viszont 

így már a logikája rosszul működik 
(szemantikailag hibás). legyünk 

bele egy egyszerű ellenőrző rutint: 


szam-169 
bitek szama-8 ftazaz hány 
sbiten ábrázoljuk a számot 


for 1 in range(bitek szama, 0, 
sz.1): 

bit-szam//2"7"(1-1) fa 
f kiírandó számjegyek balról 
ft jobbra haladva 

if DitE1l: 

print bit, 
else 


print "Szerintem nem lehet 
ssennyi biten ábrázolni!" 

break ftki lépünk 
f a ciklusból és a program 
f véget ér 

sZam-szam92"77"(1-1) fa 

f maradékkal folytatjuk 
f a ciklust 


Az újonnan elhelyezett feltételvizsgá- 
latban break utasítás megszakítja 

a ciklus működését, és kilép a prog- 
ramból ha kettes számrendszerbe nem 
illő számjegy keletkezne, viszont a fel- 
tételes vezérlés (if) használata miatt 
ha elegendő a megadott bitszám, 
akkor az utána következő művelet 
végrehajtását ez egyáltalán nem 
befolyásolja. 

Ezek után könnyedén fel tudjuk írni 
például a 25-öt kettes számrendszer- 
ben 8 bittel ábrázolva: 

00011001 


A cz műveleti jellel balra toljuk egy 
bittel az egész számsort, így binárisan 
00110010-t kapunk: 


print("25 egy bittel balra 
s forgatva:" ,25cx1) 
50 


Ahol eddig nem szerepelt számjegy, 
oda 0-t írunk (jobb szélső érték), ill. 

az egész számsort balra csúsztattuk el. 
Mindez ugyanazt eredményezi, mint- 
ha kettővel szoroztunk volna, hiszen 
a kapott szám éppen 50. Ha nem egy, 
hanem két helyiértékkel csúsztattuk 
volna balra (50-c2), akkor az megfelel 
a néggyel való szorzásnak (100 az 
eredmény), 5023 ugyanaz, mintha 
nyolccal szoroznánk stb., azaz a jel 
jobb oldalán szereplő számot kettő 
n-edik hatványkitevőjeként használva 
5072" értékeket számoltathatunk ki 

e példában. 

Ennek nagyjából ellenkezője történik 
a jobbra csúsztatás során, ha kiadjuk: 


50 551 


az eredmény 25 lesz, mivel a bitek 
jobbra csúszva 00001100 -t adnak ket- 
tes számrendszerben, s az eredetileg 
jobbszélső helyiértéken szereplő 1-es 
csonkolásra került, más néven túlcsor- 
dult. Programunk esetén is azt tapasz- 
talhattuk, hogy a szám nagysága és 

az ábrázolandó bitek száma közötti 





összefüggés miatt előfordulhat, hogy 
nem tudjuk a számot kettes szám- 
rendszerbe korrekten átszámítani. 
Még látványosabb ugyanez a műve- 
let, ha nem eggyel, hanem négy 
helyiértékkel csúsztatjuk jobbra 
az 50-et: 

print "50 55 4 eredménye: ", 
5 50554 

50554 eredménye: 3 


Ugyanazt az eredményt kaptuk, 
mintha maradék nélkül osztunk 2 -el, 
vagyis kiadtuk volna: 


50//16 


Megemlíthetjük még a bitszintű 
tagadást, jele a -, értékét pedig 
a következő egyenlőség mutatja: 


szám - -1"(szám-1) 


Mindez a negatív számok tártaka- 
rékosabb, úgynevezett kettes 
komplemens ábrázolásával függ 
össze, s ezért nem egyszerűen ellen- 
kezőjére váltja a biteket. 

Segítségül hívhatjuk a Pythont akkor 
is, ha vissza akarunk váltani egy szá- 
mot kettes számrendszerből tízesbe, 
de akár nyolcasból tízesbe is, mégpe- 
dig a már ismert int() konverziós 
függvény segítségével: 


a—-int("0110" , 2) fa második 
ft argumentum jelzi, hogy hányas 
ff számrendszerből 

print "a értéke szerintünk 
tízes számrendszerben 6, 

sza Python szerint:" , a 
b-int( "644" ,8) fnyolcas 

f számrendszerből alakít át 
print "b értéke szerintünk 
tízes számrendszerben 420, 
ssa Python szerint:",b 


Figyeljük meg, hogy az intO) hívá- 
sakor egyszeres vagy kétszeres idéző- 
jeleket használtunk, különben a kon- 
verzió nem sikerül, mivel egyszerű 
karakterláncot, és nem , igazi számot" 
vár tőlünk az értelmező. 


És a jogaink? Vagy a jogaink? 

Hol láthatjuk még hasznát a kettes 
számrendszernek? A bitszintű operá- 
torok használatakor például áramkö- 
rök működésének megértésekor, vagy 


akár gyorsítás céljából alacsony szintű 
programozás esetén, háromdimenziós 
grafikánál, s más alkalmazásokban. 
Bitszintű és művelet jele €, értéke 

két 1-es számjegy találkozásakor 1, 
minden más esetben 0. 

Kettes számrendszerben felírva 

a két számot: 


1001 (tízes számrend- 
szerben értéke 9) 
0101 (tízes számrend- 
szerben értéke 5) 
0001 (tízes számrend- 
szerben értéke 1) 


egyik szám: 
másik szám: 


eredmény: 


Bitszintű vagy művelet jele I , jelenté- 
se pedig az, hogy azonos helyiértéken 
két 0 számjegy találkozása ad 0-t, min- 
den más esetben 1 fog szerepelni. 


1001 (tízes számrend- 
szerben értéke 9) 
0101 (tízes számrend- 
szerben értéke 5) 
1101 (tízes számrend- 
szerben értéke 13) 


egyik szám: 
másik szám: 


eredmény: 


Mire használhatjuk ezt a tudást a gya- 
korlatban? Nézzünk egy egyszerűnek 
tűnő példát, a fájljjogosultságokat. 
Ha egy adott könyvtárban kilistázzuk 
az állományokat, a következőhöz 


hasonló kimenetet kapunk: 


[valakialocalhost]$ Is -1 
total 24 

-rwxr-xr-x 1 valaki valaki 462 
ssoct 17 10:21 pelda.py 

1 valaki mas 

5830 Oct 10 23:02 teszt.txt 


Az első oszlopblokk reprezentálja a jo- 
gosultságokat, Unix/Linux felhaszná- 
lók számára feltehetően ismerős séma 
szerint, azaz az első érték - vagy d 
lehet (utóbbi jelenti a könyvtárat), 

ezt a továbbiakban figyelmen kívül 
hagyjuk; a következő három a felhasz- 
náló hozzáférési jogosultsága, majd 
három karakter jelzi a csoportét, végül 
három a többiekét. 

Számunkra lényeges, hogy e három 
különálló csoportot viszonylag egysé- 
gesen lehet kezelni, hiszen ha kiadjuk 
a chmod - x pelda.py parancsot, ak- 
kor mindhárom csoportnak egyszerre 
szüntetjük meg az addig meglévő tut- 
tatási jogát az adott fájlra. A chmod 
parancs azonban ennél finomabban is 


szabályozható (csoportra, egyénre), 
legegyszerűbben talán úgy, ha 

a jogokat számokkal reprezentáljuk. 
E számokat úgy kell elképzelnünk, 
mintha az rwx jelzők mindegyike 
egy-egy bitet jelentene, s a karakter- 
hármas együttesen egy oktálisként 
(nyolcas számrendszer, gyakorlatilag 
mintha 3 egymás mellett álló bit 
képezne egy számot) mutatná a jo- 
gokat. Szemléletesebben az előző 
példánk a pelda.py fájlra, ahol 1 

az adott bit értéke, ott van beállítva 
a jogosultság: 


drwXxXrwxrwx 
0111101101 


Minden számhármas értelmezhető 
egy-egy háromjegyű bináris szám- 
ként, melynek maximális értéke 
számhármasonként átszámítva 7 (111 
binárisan), minimális értéke pedig 0 
(000 binárisan), a köztes értékeket 
pedig aszerint veszik fel, hogy mely 
jogosultság van beállítva. Például 

a tulajdonosnak van futtatási, a cso- 
portnak írási és olvasási joga, minden- 
ki másnak csak írási joga, és nem 
könyvtárról van szó: 


oktálisan: 0 1 6 2 
binárisan: 000001110010 
leírva: d rIwx rwx  rwx 
Tételezzük fel, hogy egy fájlunk hoz- 
záférési jogosultságát kell beállítanunk 
úgy, hogy a tulajdonos számára írható 
legyen, de minden más attribútuma 
változatlan maradjon. Ezt úgyneve- 
zett maszkolással lehet könnyen meg- 
oldani (lásd umask működése), ahol 
egy olyan bitmaszkkal végzünk vagy 
műveletet, mely minden más bitje 0 
értékű (így a vagy művelet működé- 
séből következően nem változtatja 
meg az eredeti értékeket) a beállítani 
kívánt pedig 1. 


$1!/usr/bin/python 
import os,stat,sys 


fajlnev-sys.argv[1] $parancs- 

ff sori indítás paramétere 
informacio-os.stat(fajlnev) [ST 
5 MODE] fmodulból stat futtatás 
f jogosultságbítekre 

print "Jogosultságok oktális 

ss számmal:" , oct(jogok)  $ki- 
ft íratjuk oktális számokkal 








Az import utasítással betöltjük a hasz- 
nálni kívánt — a nyelv alapkészletét 
bővítő — modulokat, melyekkel a vi- 
szonylagos hordozhatóságot (os) és az 
operációs rendszer parancsaihoz hoz- 
záférést (stat, sys) tudjuk biztosíta- 
ni. Működésük pontosabb megértését 
segítheti a dokumentáció böngészése, 
de hatékony használatukhoz szüksé- 
günk lesz a később ismertetendő ob- 
jektum-orientált tervezési elvek isme- 
retére is, egyelőre csak vegyük igény- 
be őket. Az ST. MODE segítségével 

a jogosultságbiteket és egyéb jellemző- 
ket (sticky bit, fájltípus stb.) tudjuk 
akár makrószerűen egyesével lekér- 
dezni. Minket most csak a három 
csoport jogosultságai érdekelnek, 
ezért egyszerűsítjük a kiíratást: 


eredeti oktalis jogok-oct(jogok 
8 0777) 

print "Könyvtár, tulajdonos, 

5 csoport, egyéb oktálisan:" , 
s eredeti oktalis jogok 


Láthatjuk, hogy a megjelenített érték 
egyezik az előző, szűretlen kiíratás 
utolsó három számjegyével (a szám- 
kezdő 0 csak azt jelzi, hogy oktális 
szám, és nem tízes számrendszerbeli), 
hiszen bináris és műveletet hajtottunk 
végre egy csupa 1-esekből álló (777 
oktálisan) számmaszkkal, ezáltal az 
eredeti bitek értékét nem változtattuk. 
Pontosabban csak a jobb oldali három 
bit értékét, az első négy bitet ugyanis 
pont ezzel - a bevezető nullákat is oda 
kell gondolni — nulláztuk le. 


Apelda.pyfál111101101 
jogosultságbitjeit (lásd feljebb) oktális- 
ra váltva 755-öt kapunk, ezt kapcsol- 
juk össze és műveleten keresztül 

a 777-es maszkkal, melynek utolsó há- 
rom számjegye binárisan 111111111. 
Egyszerűsítve: 


eredeti pelda.py fájl oktálisan: 
0100755 


maszk oktálisan: 0000777 


eredmény oktálisan: 0000755 

Ez a maszk egyelőre csak annyit csi- 
nált, hogy , levágta" a fölösleget, a szá- 
munkra jelenleg érdektelen bevezető 
bitekkel így nem kell foglalkoznunk. 
Ejtsünk néhány szót 


a fajlnev-sys.argv[11] sorról is. Ed- 
digi példáinkban a változókat jobbára 
előre feltöltöttük értékkel, rugalmatlan 
programozási megoldást választva. 

Ha annak eldöntését, mely fájl jogo- 
sultságait írassuk ki s módosítsuk 
majd, a felhasználóra szeretnénk 
bízni, legegyszerűbb, ha parancssori 
argumentumkérnt kérjük be. A gyakor- 
latban ez annyit tesz, hogy 


pythonprogramnév argumentum1 
argumentum2 argumentum3 ... 
argumentumn 


alakban kell elindítani a programot, 
s mi a sys modul segítségével ezen 
argumentumok értékeit egy számo- 
zott listából ki tudjuk olvasni. 

A legelső argumentum maga a futta- 
tott fájl — függetlenül attól, hogy meg- 
adjuk-e külön, erre argv[0]-ként 
lehet hivatkozni, míg a többi sorban 
a következő sorszámú elem, azaz az 
első , igazi" parancssori argumentum 
az argv[1] lesz. 

Esetünkben így lehet a szkriptet 

a pelda.py fájlra értelmezve futtatni: 


pythonprogramneve pelda.py 


Folytassuk rövid programunkat 

a lekérdezés után a jogosultság- 
beállítással. A használandó maszknak 
csakis a tulajdonos írási bitjét szabad 
1-re változtatnia (ez jobbról a 8. bit), 
az összes többi bitet változatlanul 
kell hagynia, akármilyen értékük is 
volt eredetileg. Erre alkalmas a vagy 
művelet és egy ilyen bináris bit- 
maszk:010000 0 0 0, ami oktálisan 
kifejezve 200. 


maszk-oct(0200)  $tulaj rwx-2 

f csoport rwx-O mások rwx-0 
beallitott-int(eredeti oktalis . 
—sjogok,8) / int(maszk, 8) 

$£ tízes számrendszerbe váltva 

f VAGY 

os . chmod(fajlnev, oct(beallitott 
mg 0777) ". $a művelet eredménye 
f szerint állítjuk be 


Amint látjuk, a biztonság kedvéért 
átváltottuk egyazon számrendszerbe 

a műveletek előtt az oktálisokat, majd 
átadtuk a kapott értéket az operációs 
rendszer használó modulnak. 

A chmod két paramétere értelemszerű- 
en a fájlnévből és az új jogosultságból 





vá MR 
Mm 7. ábra lgazságtábla 


áll, ami , tartalmazza" a korábbit, 

és gyakorlatilag egyenértékű a chmod 
u-tw parancs kiadásával. 

Az előző vagy műveletet megengedő 
vagyként is emlegetik, ellentétben 

a A jellel jelölt kizáró vagy-gyal, mely 
a számjegyek találkozásakor csak ak- 
kor ad 1-est eredményül, ha két kü- 
lönbözőről van szó, azaz 0 és 1 vagy 
1 és 0 ugyanazon a pozíción: 

egyik szám: 1001 (tízes számrend- 
szerben értéke 9) 
0101 (tízes számrend- 
szerben értéke 5) 
1100 (tízes számrend- 


szerben értéke 12) 


másik szám: 


eredmény: 


Végezetül használjuk fel ezen tudá- 
sunkat egy egyszerű titkosítóprogram 
írására, melyhez számokat és a kizáró 
vagy műveletet hívjuk segítségül. 


adat-17 

kulcs-35 
titkositva-adatAkulcs 
print"Az adat titkosítva Így 
sznéz ki:" , titkosítva ífez 
f azért nem túl biztonságos 
ft titkosítás... 

print "visszafejtése: 
sztitkosított adat kizáró vagy . 
ss művelet kulcs, azaz:" 
print titkosiítvaAkulcs 


Alacsony szintű, bináris művele- 
tekkel ritkábban találkozunk közvet- 
lenül, mint például a későbbiekben 
ismertetett logikai és vagy vagy 
egyéb kifejezésekkel. Nem árt tud- 
nunk azonban, hogy egy magas 
szintű utasítás végrehajtása mögött 
milyen elemi lépések lehetnek, 
illetve bizonyos helyzetekben kifeje- 
zetten jól jön ez a tudás sebességnö- 
velésre, egyszerűsítésre. A Python 
szerencsére egyre segítőkészebb 
ahogy haladunk vele előre, 

s a magasabb szintű funkciók 
esetében könnyebb dolgunk lesz. 


Tóth Virgil Zoltán 
(m v(ac2.hu) 


44 


Kommunikáció , fú alatt" - AJAX (1. rész) 


Melyik webfejlesztő nem ábrándozott még arról, hogy anélkül kommunikáljon 
a szerverrel, hogy az oldalt újra kellene hívni? Az AJAX , mint a JavaScript és 
az XML nyerő párosa váltja valóra ezt az ábrándot. Ismerjük meg közelebbről 
ezt a megoldást, melynek segítségével talán hamarosan csökkenni fog a hon- 
lap és alkalmazás kifejezések közötti különbség. 


GI Ül 
Hogy igazán megértsük, miért is fon- 
tos és nagy áttörés az AJAX, valamint , 
hogy mi is ez valójában, érdemes átte- 
kinteni a World Wide Web (WWW) tör- 
ténetét napjainkig. Az első név, melyet 
meg kell említenünk Tim Berners-Lee, 
aki lefektette a WWWW alapjait a 1990- 
ben azzal, hogy megálmodott egy há- 
lózatot. Egy olyan hálózatot, melyben 
az adatok rendszerezetten hypertext 
formátumban érhetők el, úgynevezett 
URI-k (Uniform Resources Identifiers) 
segítségével. Ekkor bontakozott ki 
a jó öreg HIML (Hypertext Markup 
Language), melynek segítségével for- 
mázni lehetett az adatokat, valamint 
linkek alkalmazásával összekapcsolni 
az egyes dokumentumokat. Ezeken 
felül nem sok tudása volt a HIML- 
nek, az adatok statikus megjelenítése 
volt a jellemző. 
Az üzlet azonban hamarosan közbe- 
szólt. A reklámok, hirdetések, egyéb 
üzleti elképzelések vezettek oda, hogy 
fellépet az igény arra, hogy a felhasz- 
nálók szabadabban kezelhessék 
a megjelenített adatokat. A HIML 
azonban nem támogatott eddig sem- 
milyen eszközt, mellyel a megjelení- 
ni lehetett volna. Ekkor a semmiből 
bukkant elő egy vállalat, aki igen 
csak nagyot lendített a WWW fejlő- 
désén, megoldást találva a fent leírt 
problémára és melyet úgy hívtak, 
hogy Netscape. 
Az első igazi böngésző, mely igazán 
elterjedt a Netscape Navigator volt. 
A Netscape ebben a böngészőjében 


tette lehetővé először a JavaScript 
használatát, melynek eredeti neve 
LiveScript volt. Fejlesztőjét Brendan 
Eichnek hívták, az első verzió pedig az 
1995-ben kiadott Netscape Navigator 
2.0-ban látott napvilágot. Ezekben az 
időkben ha valaki 28.83 Kbps-os mo- 
demmel rendelkezett az nagy jelentő- 
séggel bírt. A lényeg, hogy nem kellett 
minden interakció után a szerver felé 
kérést intézni, hanem a JavaScript se- 
gítségével helyben is lehetett módosí- 
tani az adatokat, vagy ugyancsak 

a szkripten keresztül csak bizonyos 
adatokat fogadni illetve küldeni, 
melynek segítségével csökkent az 
adatforgalom és nőtt a kiszolgálás 
sebessége. Ez kulcsfontosságú volt 

az AJAX történetében. 

A HTML , ősi" verziója csak ,egyke" 
dokumentumokat tudott megjeleníte- 
ni. A frame-ek bevezetése, ugyancsak 
nagy áttörés volt. Segítségükkel egy 
dokumentumot, több független részre 
lehetett osztani, így megint csak külön 
lehetett választani a statikus elemeket, 
és változó, dinamikus adatok másik 
frame-be kerülhettek. Ez azért jelen- 
tős, mert nem az egész dokumentum- 
mal kellett dolgozni, csak egy bizo- 
nyos részével, megint csak csökkentve 
a feldolgozott adatok mennyiségét és 
a feldolgozás idejét. A Netscape meg- 
előzve a HTML 4.0 szabvány beveze- 
tését, saját kezébe vette az irányítást, 
és a már említett 2.0-ás verziójú bön- 
gészőjét frame-es támogatással dobta 
piacra. A JavaScript és a frame-ek 
használata többféle kliens-szerver 
kommunikációra adott lehetőséget, 


főleg azután, hogy a 90-es évek végén 
a ,böngésző háborúban" (Netscape 
Navigator - Internet Explorer) a frame 
és JavaScript lehetőségek a verseny- 
helyzetben egyre jobban csiszolódtak, 
fejlődtek. 

Az AJAX-nak még be kellett várnia 

az XML forradalmát is, hogy végre 
úttörő lehessen a kliens-szerver 
kommunikációban a böngészők és 

a webfejlesztés terén. Végül 2005-ben 
látott napvilágot a kifejezés: AJAX, 
mely nem egy új nyelv, mint majd 
látni fogjuk, hanem több alkalmazás 
együttesét takarja. 


Még mindig húzzuk az időt egy kicsit, 
olyan technikák megismerésével 
amelyekkel megvalósítható az oldal 
újratöltése nélküli kommunikáció 

a szerverrel. Frame és JavaScript alkal- 
mazásával könnyen tudunk a háttér- 
ben kommunikálni a szerverrel. Ezt 
nevezzük , rejtett frame" módszernek. 
Az alapelv a következő: az oldalunk 
legalább két frame-ből áll, melyek kö- 
zül az egyik rejtett és ezen a frame-en 
keresztül kommunikálunk a szerver- 
rel. A rejtett frame annyit takar, hogy 
a szélessége vagy magassága 0 pixel. 
Az adatáramlást a két frame között 

a JavaScript fogja biztosítani. 

A rejtett frame tartalmaz egy formot, 
amit a látható frame-ből származó 
adatok valamint a JavaScript segítsé- 
gével kitöltünk és elküldünk. Amikor 
az információ megérkezik a rejtett 
frame-be akkor azt kimásoljuk 

a látható területre. 


BÖNGÉSZŐ 
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mi 2. ábra Általában így kommunikálnak a honlapok a szerverrel 


A következő változást a DHTML 
(Dynamic HTML) és a DOM 
(Document Object Model) megjelenése 
hozta. Ezen két technológia segítségé- 
vel lehetővé vált, hogy JavaScript 
programozással a kliens oldalon lehes- 
sen módosítani a HIML dokumentum 
szerkezetét, bármely apró részének 
tulajdonságát, tartalmát. Ez megint 
egy lépés volt az AJAX fejlődésében. 
Bár a , rejtett frame" módszer nagyon 
elterjedt, hamarosan mégis egy új 
közkedvelt megoldás érkezett. 

Az iframe elem 1997-ben futott be 

a HTML 4.0 részeként. Használata 
sokkal egyszerűbb volt, mint a frame- 
eké. Az oldalban bárhol el lehetett he- 
lyezni ezt az elemet, és CSS segítségé- 
vel (Cascading Style Sheets) láthatat- 
lanná tenni. Amikor pedig az Explorer 
5-ös és a Netscape 6-os böngészők 
hozták a DOM-ot, a , rejtett frame" 
módszernek végleg befellegzett. 

A DOM segítségével a fejlesztők 
JavaScripttel bármikor be tudtak 
szúrni a dokumentumba egy iframe 
elemet a kliens oldalon, anélkül hogy 
eleve a dokumentumban létezett vol- 
na ilyen elem egyáltalán. Azaz a szer- 
verrel való kommunikáció végleg 

a JavaScript-re maradt, nem kellett 
már kombinálni, előre megírt HIML 
elemekkel, hiszen azokat is létre tudja 
már hozni futási időben. 

Az utolsó fejlemény, ami talán végleg 
megpecsételte az AJAX sorsát -— hiszen 
valamilyen szempontból innen is ered 
maga a kifejezés: AJAX — az a Micro- 
soft XMLHttp ActiveX objektumának 
megjelenése volt 2001 környékén. 
Ezen az objektumon keresztül 
lehetővé vált, hogy kérést küldjön 





a JavaScript a szerver felé, valamint 
hogy kezelje a HIML státusz kódokat, 
fejléceket is. Lehetővé vált végre, 
hogy frame-ek illetve iframe-ek hasz- 
nálata nélkül valósuljon meg a kom- 
munikáció. Persze a Mozilla projekt 
később sajátot fejlesztett ki ebből 

az objektumból, ami hordozza 

az XMLHttp főbb jellemzőit: 
objectXxMLHttpReguest. Még fogunk 
vele találkozni a cikk során. 


Végre: AJAX 


Ennyi történet után már remélhetőleg 
valami körvonalazódik az olvasó fejé- 
ben, hogy mi is lehet az az AJAX. 

Az AJAX tehát annak a technológiá- 
nak a neve, mely a háttérben valósítja 
meg a kommunikációt a szerverrel és 
lehetővé teszi a kapott információk ál- 
tal a felhasználói felület módosítását. 
Lényeges eleme, hogy a háttérben 
várja meg az adatok megérkezését, 
tehát nem áll meg az oldal működése, 
amíg a szerver felé a kérés le nem 
zárul. Az adatáramlásban bármilyen 
adat szerepelhet: sima szöveg, XML 
vagy amire éppen a fejlesztőnek 
szüksége lehet. Végeredményben egy 
kommunikációs rétegről beszélhetünk: 
1. ábra. Az általában megszokott 
kommunikációs forma: 2. ábra. 

Ennek a megoldásnak nagyon sok 
előnye van. Mivel csak a szükséges 
adatokat mozgatja a szerver és 

a kliens között ezért minimalizálódik 
az áramlott adatok mennyisége, nincs 
felesleges kommunikáció. Felesleges 
lehet például mindig újratölteni egy 
oldalon a CSS-t, képeket, HTML ele- 
meketk, ha csak a tartalom változik. 

A kevesebb adatforgalom gyorsabb 





kommunikációt eredményez, 

ezáltal gyorsabb a felhasználók 
igényeinek kiszolgálása is. Mivel 
nincs szükség az oldal újratöltésére, 
szinte egy alkalmazás látszatát kelt- 
hetjük a felhasználóban, miközben 
egy HIML dokumentumot kezel. 
lermészetesen hátrányai is van- 

nak ennek a módszernek. A prog- 
ramozás során elég bonyolult 

kód keletkezhet, ha elég jól értünk 

a JavaScripthez akkor nem lehet aka- 
dály az AJAX programozás. Persze az 
AJAX technológia nem csak kizárólag 
XML-re és JavaScriptre épít, ahhoz, 
hogy megfelelően kezelhessük az 
AJAX-ot ismernünk kell az XHIML, 
HTML nyelveket a CSS-t, DOM is- 
meretekre fokozottan szükségünk 
van, nem árt ha képben vagyunk 

az XML alapjaival, az XMLHttp 

és az objeciXMLHttpReguest kezelése 
is szükséges a JavaScripten felül. 

Már ezekből is látszik, hogy egy bo- 
nyolult rendszer keletkezhet egysze- 
rűbb AJAX oldalból is, de majd látni 
fogjuk, hogy az eredmény kárpótol 
mindenért, és később már nem is 

fog olyan nehéznek tűnni. 


AJAX akcióban 


Lássunk végre példát a módszer alkal- 
mazására. MIi is lehetne más a példa, 
mint a jó öreg , Hello World" alkalma- 
zás. Kicsit persze alakítunk rajta, hogy 
két irányú adatáramlásról legyen szó. 
Készítünk egy egyszerű HIML oldalt, 
melyben szerepelni fog egy input me- 
ző valamint egy gomb. A gomb meg- 
nyomásakor az input mező tartalma 
elküldjük a szervernek ott feldolgoz- 
zuk egy PHP szkript segítségével és 
visszaadjuk a böngészőnek úgy hogy 
elé fűzzük a , Hello" szót, ezt pedig 
egy mondjuk egy SPAN-ban fogjuk 
megjeleníteni. Az alkalmazás három 
részből fog állni: a HTML felület, 
JavaScript, szerver oldali szkript 

(ez most PHP lesz). 

Először készítsük el a HTML felületet, 
ami mivel most szemléltetési eszköz 
lesz, igen egyszerűen fog kinézni: 

1. lista. A gombnak és a beviteli mező- 
nek itt szerintem érdemesebb id-t ad- 
ni mint nevet (name). Véleményem 
szerint ez alapján könnyebb őket 
visszakeresni a DOM segítségével 
(document. getElementById függ- 
vény). A gomb onclick metódusa 

a Kuld eljárás lesz. 


d] 


Tt. lista HIML felület 


c?xml] version-"1.0"?5 
c2!DOCTYPE htm] PUBLIC "-//w3C 
sz //DTD XHTML 1.0 Strict//EN" 
"http: //www.w3.org/TR/ 
sz xhtm]1/DTD/xhtml1- 
zése a egni hi uo ós 
chtml xmlns-"http:// 
5 www. w3 . org/1999/xhtmI": 
cheadzs 
ctitleszAJAX - 
53 LINUXVILÁG-/titles 
cscript language- 
sz "javascript" 
type-"text/javascript"5 


// ide jön majd a 
s JavaScript kódunk: 2. lista 


kdAieieáe a 
c/headz 
cbodyz 
Név:cinput type-— "text" 
5 1d-"nev" /5 
cíinput type-"button" 
s onclick-"kuldO" 
5value—"ok" /5 
ZT /5 
Ide fog kerülni a 
ss szerverről visszaérkező 
ssadat: cspan 1d-"box"5 
adód jor- aba 
c/bodyz 
eg Askuia be 





A kommunikációs réteg programozá- 
sa JavaScript segítségével: 2. lista. 
Ahogyan nagyon sok JavaScript alkal- 
mazás működik, itt is figyelnünk kell, 
hogy melyik alternatívát használó 
böngészővel van dolgunk, és ez alap- 
ján hozzuk létre az XMLHttpReguest 
vagy az XMLHttp objektumunkat. 
Ezen az objektumon keresztül fog 
történni a kommunikáció. A kuld 
eljárás végzi akommunikációs 
feladatokat. Kivesszük a beviteli 
mezőből a beírt nevet, értéket. 

Az Ajax. onreadystatechange egy 
olyan függvény vagy eljárás, mely 
akkor fut le ha az adatok megérkez- 
tek, ez lesz nekünk most a kesz eljá- 
rás. Az open tag fogja nyitni a csator- 
nát a szerver felé. Most GET módszer- 
rel fogunk küldeni adatot a hello.php- 
nak (a küldendő anyagot a URL-hez 


fűzzük), a harmadik paraméterben 
pedig megadjuk hogy a futás ne sza- 
kadjon meg amíg az adatok érkeznek 
(false érték esetén pedig a futás 

a kommunikáció idejére megszakad). 
A send tag paramétere csak POST 
típusú küldés esetén érdekes, ezért 
ezt most null értékre állítjuk. A kesz 
függvényben a feltétel vizsgálja 

a kommunikáció eredményességét. 

A readyState több értéket is felvehet, 
amivel az adatforgalom feletti ellenőr- 
zést lehet megvalósítani: 


0 — még nem indult el az adatcsere, 
1 — töltés, 

2 — töltés kész, 

3 — feldolgozás, 

4 — kész. 


A feltételünk persze az ActiveX 
objektummal is számol, ezért vizs- 
gálja a complete egyezést is. Amint 
megjött az adat a szerverről amit 

a responseText tag tartalmaz, 
elhelyezzük a SPAN tagon belül. 

A szerver oldalon pedig annyira egy- 
szerű ebben az esetben a kód, hogy 
külön listát kár lenne rá pazarolni. 

A hello.php tartalma a szerveren: 
c?php echo "Hello 

" $ GET["nev"]."!"; ?s5. 
Láthatjuk, hogy egy egyszerűbb példa 
is kicsit bonyolultra sikerülhet, de az 
eredmény véleményem szerint nagy- 
szerűen hat. Nem kell az oldalt újra- 
tölteni, csak a lényeges elemek változ- 
nak. Kisebb adatok esetén, szinte egy 
helyben futó alkalmazás érzetét kelti 
a honlap. A jó öreg Google a Gmail 
nevű szolgáltatásánál is előszeretettel 
használja ezt a technológiát. Még 
külön API-t is le tudunk tölteni 

a honlapjukról (3 code.google.com), 
ami az AJAX-ra épít és felhasználhat- 
juk honlapok fejlesztéséhez. 


Ami következik 


A következő alkalommal, természe- 
tesen AJAX-ot használva felépítünk 
egy honlapot, hogy komolyabb alkal- 
mazásra is lássunk példát. Addig is ha 
valakit elkapott az ihlet, akkor kelle- 
mes időtöltés kívánok az AJAX-hoz. 
Véleményem szerint hamarosan eljön 
az idő, amikor alkalmazás és honlap 
egybe fog olvadni. Ez a technológia 
az első lépések egyike. A Google már 
ilyen úton jár a Docs 6 Spreadsheets 
nevű szolgáltatásával is. 





2. lista AJAX JavaScriptben 


var Ajax — null; 


// Mozilla 

1f (window.XMLHttp 
—5Reguest) í Ajax - 
new XMLHttpReguest 
szél a 


// Explorer 

ng 
(window. Activexobject) 

1 

Ajax - new 

s window.Activexobject( "Micro 
ss Soft .XMLHTTP"); 

H 


function KkuldO 
Lt 
var nev - 
s document. getElementById 
sz ("nev") .value; 


Ajax .onready 
s statechange — Kesz; 
Ajax .open( "GET" , 
s "hello.php?nev-"-inev, true); 
Ajax .send(nul1); 
H 


function Kesz 

tt 
1f (Ajax.ready 
4 ]] Ajax.ready 
"complete") 


1 


ss State 
State 


document .get 
s ElementById("box") . inner 
5 HTML — Ajax.responseText; 


h 





Radics Péter 
(peter.radicsogmail.com) 
Az ELTE-n tanulok prog- 
ramtervező matemati- 
kus szakon. Hobbim 

a kosárlabda, autóveze- 
tés, web-design, programozás. 

Főleg webes alkalmazások fejleszté- 
se érdekel. 4 éve megrögzött Linux 
felhasználó vagyok. 


A legjobb biztonsági 
rendszer... ugat! 


Hála az égnek, a Guarddog 
nagyobbat harap, mint amilyen 


hangosan ugat. 


Nem, Francois, nem tűnt fel, 
hogy valami baj lenne az internet- 
kapcsolattal. Ja, értem, szóval új 
tűzfalat telepítettél, ami most nem 
enged ki. Hm, lássuk csak a beállítá- 
sokat. Azt hiszem, tudom, mi a gond, 
mon ami. A beállítások rendkívül 
szigorúak, viszont kiváló biztonságot 
nyújtanak. Semmi nem juthat be, 
de semmi sem jut ki. Tökéletesen 
biztonságos. 

Igen, Francois, csak vicceltem. 

Ha a biztonságról van szó, mindenki 
túlzó hasonlatokat használ. Egyszer 
azt hallottam, hogy egy kiszolgálót 
úgy lehet a legbiztonságosabbá tenni, 
ha kihúzzuk, és a szekrénybe zárjuk. 
Ha már viccelődünk, miért ne men- 
jünk tovább? Öntsük betonba a ki- 
szolgálót, és temessük egy 15 méter 
mélyen fekvő, ólommal bélelt pincé- 
be. A tréfát félretéve, mon ami, 

meg kell találni a helyes egyensúlyt 
az elfogadható biztonság és a teljes- 
séggel használhatatlan rendszer 
között. Ez szerepel a mai étlapon, 

és amikor a vendégeink végre 
megérkeznek, felszolgálunk néhány 
tetszetős tűzfal-alkalmazást. 

De már itt is vannak, Francois. 
Mindenkit üdvözlünk Marcelnál, 
ahol a remek Linux fogások és a kitű- 
nő borok tökéletes harmóniát alkot- 
nak. Hűséges pincérem az asztalhoz 
kíséri önöket, utána pedig behozza 


a bort. A 2002-es Sonoma Belle Glos 
Pinot Noir remekül hangzik - azt hi- 
szem, Francois, az északi szárnyban 
találod meg, Henri éppen ott tölti fel 
a készletet. 

A Linuxot forgalmazó csoportok 
általában biztosítanak valamilyen 
tűzfalat a terjesztéshez, de nem 
mindegyik. Ezeket rendes estben 

a gyártó által rendelkezésre bocsá- 
tott rendszervezérlő eszközön 
keresztül érhetjük el. Időnként 

a tűzfal eszközök lényegében a pa- 
rancssori iptables programok. Semmi 
gond nincs azzal, ha kizárólag a pa- 
rancssor alkalmazásával húzunk fel 
tűzfalat, de sokan vannak, akik na- 
gyon szívesen fogadnak egy kis irá- 
nyított, egyszerűsített, grafikus segít- 
séget. A ma tárgyalt tűzfalépítők az 
egyszerű használhatóság és beállítha- 
tóság mellett rendelkeznek még egy 
előnnyel: mindkettő lehetővé teszi 

a tűzfal valósidejű módosítását. 
Mindegyik nagyon szigorú beállítá- 
sokat alkalmaz a bejövő forgalomra 
(minden adatcsere tiltott, hacsak 
nem engedélyezik kifejezetten), 
továbbá nem terjesztésfüggők. 

Ha úgy döntünk, hogy terjesztést 
váltunk, használhatjuk ugyanazokat 
az eszközöket. 

Francois, jó, hogy visszatértél. 
Kérlek, tölts a vendégeinknek! 

A mai első fogás Thomas Junnon 





kitűnő Firestarter alkalmazása, 

egy könnyen használható, grafikus 
tűzfalprogram, amely lehetővé teszi 
a biztonsági szabályok valósidejű 
válaszát és beállítását. A Firestarter 
futtatásakor (parancsnév, firestarter), 
meg kell adnunk a fő jelszót. Az első 
futtatáskor a program elindít egy tűz- 
falvarázslót (Firewall Wizard), amely 
segít a kezdeteknél. Mivel az első 
képernyő gyakorlatilag csak egy 
üdvözlés, olvassuk el az üzenetet, 
majd a Forward (Iovább) gombra 
kattintva lépjünk tovább. 

Ezután az internet-kapcsolat meg- 
osztását kezelő képernyőre jutunk. 
Az egyfelhasználós gépeknél nem 
kell emiatt aggódnunk, egyszerűen 
továbbléphetünk a következő 
képernyőre. Ha azonban az otthoni 
vagy az irodai PC más PC-k NAT 
(címfordító) átjárójaként szolgál, 
kattintsunk az Enable Internet 
connection sharing (Internet- 
kapcsolat megosztásának engedélye- 
zése) jelölőnégyzetre. Ismét megad- 
hatjuk, hogy alapértelmezésben 
milyen Ethernet kártyát (vagy tele- 
fonos kapcsolatot) használunk az 
internethez való csatlakozáskor. 
Közvetlenül ezalatt DHCP kiszolgá- 
lón keresztül adhatunk meg címeket. 
Ha a rendszeren nem telepítettünk 
DHCP kiszolgálócsomagot, ez a lehe- 
tőség szürkén jelenik meg. 
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A beállítások elvégzése után kattint- 
sunk a Forward gombra, és tulajdon- 
képpen végeztünk is a varázslóval. 
Mielőtt a Save (Mentés) és a Ouit (Ki- 
lépés) gombra kattintanánk, nézzük 
meg figyelmesen a képernyőt. Észre- 
vehetjük a Start firewall now (Tűzfal 
azonnali indítása) gombot, amely 
eleve ki van pipálva. A varázsló által 
létrehozott alapértelmezés szerint 

a Firestarter szabályai meglehetősen 
korlátozzák a bejövő forgalmat 
(ahogy ezt elvárnánk), és ez általában 
nem jelent problémát. Ahogy azon- 
ban a képernyőn megjelenő tipp 

is tájékoztat, ha távolról végezzük 

a telepítést, ez gondot okozhat. 

Ha nem a szóban forgó munkaállo- 
másnál ülünk, kapcsoljuk ki az azon- 
nali indítás lehetőségét. Készen is 
vagyunk. Kattintsunk a Save gombra, 
és a Firestarter élesíti az új tűzfalat, 
valamint megjeleníti az állapotabla- 
kot (1. ábra). 

A kezelőfelület egyszerű, három 
lapból áll. A lapok címkéje Status 
(Állapot), Events (Események) és 
Policy (Szabályok). Az állapotnézet 


az, amelyik nagy valószínűséggel 
rendszeresen érdekelhet bennünket. 
A kijelző megjeleníti a tűzfal futásá- 
nak állapotát (Active — Aktív vagy 
Disabled - Kikapcsolt), a bejövő 

és kimenő kapcsolatokat, valamint 

a különböző felületeken keresztül 
zajló forgalmat. Az ablak alján talál- 
ható Active connections (Élő kapcso- 
latok) rész alaphelyzetben be van 
zárva. A címke melletti nyílra 
kattintva megtekinthetjük ezeket 

a kapcsolatokat. 

Ki kell emelni, hogy a Firestarter 
először minden elképzelhető bejövő 
szolgáltatást kizár. Ennek következ- 
ményeként, ha nem az asztali számí- 
tógépen, hanem a kiszolgálón futtat- 
juk, azt tapasztaljuk, hogy senki sem- 
mit nem tud majd futtatni, még a biz- 
tonságosnak gondolt szolgáltatásokat 
sem, például a webkiszolgálót. Ennek 
ellenére minden kimenő forgalom 
megengedett, tehát ez nem érinti 

a hagyományos asztali szolgáltatáso- 
kat, vagyis az e-mail olvasást, 

a webes böngészést és az IM 
(azonnali üzenetküldő) ügyfelekkel 


— [4 Lookup Hostnames 


Mwindows 





történő csevegést. A fent említett 
Active connections ablak azonnal 
megjeleníti a kapcsolódási kísérlete- 
ket, de ezek pár másodperc múlva 
elhalványodnak és eltűnnek. 

Az Events lapra kattintva megtud- 
hatjuk, milyen kapcsolódási esemé- 
nyek történtek, így eldönthetjük, 
hogy melyiket engedjük be. Itt meg- 
találjuk a számítógép teljes forgalmá- 
nak naplóját (2. ábra). 

Ha a jobb gombbal valamelyik be- 
jegyzésre kattintunk, megjelenik egy 
felugró menü a kapcsolatokra vonat- 
kozó lehetőségekkel. Amennyiben 
például a 80-as kapu (HTTP szolgálta- 
tás) egy eseményéről van szó, érde- 
mes bejelölni az Allow inbound Servi- 
ce for Everyone (Belső szolgáltatás en- 
gedélyezése mindenki számára) lehető- 
séget. Más a helyzet viszont a 22-es 
kapun érkező biztonságos héjszolgál- 
tatás (secure shell) kapcsolattal, amely- 
nél csak az Allow inbound Service for 
Source (Beérkező szolgáltatás engedé- 
lyezése a forrás számára) jelölőnégy- 
zetet pipáljuk ki. Egy adott IP cím 
(például egy belső hálózaton található 








PC) engedélyezéséhez válasszuk 

az Allow Connections From Source 
(Forrástól érkező kapcsolatok engedé- 
lyezése) lehetőséget. Azt is megtehet- 
jük, hogy egy adott gazdagép, kapu- 
szám vagy szolgáltatás kapcsolatait 
nem naplózzuk. 

Én személy szerint nem hiszem, hogy 
a rendszergazdák először megnézik, 
ki kopog, és csak azután engednek 
bizonyos szolgáltatásokat a rend- 
szerb. Aki webkiszolgálót üzemeltet, 
annak valószínűleg előnyösebb, ha 
engedélyezi a 80-as kaput. Ugyanez 
az elv érvényes akkor, ha egy Samba 
kiszolgálón engedélyeznünk kell, 
hogy az irodában dolgozók hozzáfér- 
jenek a kiszolgálón tárolt megosztá- 
sokhoz. A Policy lapra kattintva elke- 
rülhetjük, hogy a bekövetkezésük pil- 
lanatában kelljen kezelni az esemé- 
nyeket. Ez az ablak két vízszintes 
részre vagy táblára van osztva. 

A felső egy adott gazdagép vagy gaz- 
dagép-csoport általános kapcsolatait 
kezeli, az alsó tábla pedig az egyes 
szolgáltatásokkal illetve azokkal a ka- 
pukkal foglalkozik, amelyeken ezek 
a szolgáltatások futnak. Az Events la- 
pon hozzáadott szolgáltatások itt je- 
lennek meg. Ha úgy akarunk további 
szabályokat hozzáadni, hogy ne kell- 
jen végiglépkedni az Events párbe- 
szédablakon, kattintsunk a jobb 
gombbal a felső vagy az alsó táblára, 
majd a felugró menüben válasszuk az 
Add rule (Szabály hozzáadása) lehető- 
séget. Megjelenik egy kis barátságos 
párbeszédablak, amely megkönnyíti 
a folyamatot (3. ábra). 

Adjunk hozzá egy olyan szabályt, 
ami engedélyezi a helyi hálózatra 
csatlakozó PC számára, hogy elérje 

a Samba szolgáltatást. A párbeszédab- 
lak tetején szerepel egy lenyíló lista, 
amely a lehetséges szolgáltatásokat 
tartalmazza (például DHCP, 
BitTorrent, IMAP és a többi). Én 

a Sambát (SMB) választom a listából. 
Észrevehetjük, hogy az ismert szol- 
gáltatásoknál a kapu (vagy kapuk) 
mezője automatikusan kitöltődik. 
Ezután a When the source is (Amikor 
a forrás...) címke alatti választógomb- 
bal engedélyezhetjük az összes kap- 
csolatot, illetve egy meghatározott 
gazdagépet vagy hálózatot. Ebben az 
esetben a saját C osztályú hálózato- 
mat állítom be. Végül, a lent szereplő 
mezőben valamilyen megjegyzést is 


hozzáadhatunk. Kattintsunk az 

Add (Hozzáadás) gombra, és készen 
is vagyunk. Az új szabály megjelenik 
a Policy ablakban. Kattintsunk 

a Firestarter fő ablakának tetején 
található Apply Policy (Szabály 
alkalmazása) gombra az új szabály 
érvényesítéséhez. 

A most létrehozott szabályokhoz 
mellesleg a Firestarternek nem fel- 
tétlenül kell futnia. A program az 
/etc/rc.firewall fájlban tárolja a tűzfal 
adatait. Mivel ez egy indítás szintű 
parancsfájl, valahányszor újraindítjuk 
a rendszert, a tűzfal már futni fog. 
Itt a kiváló alkalom, hogy kis szünetet 
tartsunk és lazítsunk, amíg Francois 
mindenki poharát újratölti. Ezalatt 
hadd meséljek el még egy bölcseletet 
a biztonsággal kapcsolatban. Sok év- 
vel ezelőtt valaki azt mondta, hogy 

a lehető legjobb biztonsági riasztó- 
rendszer, amit egy házhoz beszerez- 
hetünk, az a kutya. Azt mondták, 
felejtsem el a csillogó elektronikus 
ketyeréket, és vegyek magamnak egy 
nagy német juhászt. Valószínűleg 

ez a gondolat sugallta a mai étrend 
második fogását. Simon Edwards 
Guarddog (Őrkutya) programja egy 
grafikus tűzfalbeállító eszköz, amely 
kutya biztonságossá teszi a Linux 
rendszert. A Guarddog az asztali 
számítógépeken nagyszerű, viszont 
még a bonyolult kiszolgáló összeállí- 
tásokon is ideális eszköz. 

Mielőtt bemutatnám a Guarddogot, 

ki kell emelni, hogy nem rendszergaz- 
daként is futtatható, viszont a végre- 
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hajtott változtatásokat nem lehet 
menteni. Ez azért van, mert a tűzfal 
szabályainak megváltoztatásához rend- 
szergazda hozzáférés szükséges. Egy- 
értelműen jobb, ha rendszergazdaként 
futtatjuk az alkalmazást, kivéve, termé- 
szetesen, ha előbb el szeretnénk sajátí- 
tani a működését. Ez hasznos lehet; 
nemsokára elmondom, miért. Még va- 
lamire fel szeretném hívni a figyelmet. 
A Guarddog a /etc/rc.firewall-ban tárol- 
ja a tűzfalszabályokat, és így lehetséges 
(bár nem valószínű), hogy ezen a he- 
lyen már létezik egy fájl. Ebben az 

a furcsa (és talán egy kicsit mulatsá- 
gos), hogy a Guarddog egy ilyen nevű 
fájlt telepít, és lehet, hogy induláskor 
beleütközik. Ez nem túl nagy gond, 

de ha erre utaló üzenetet látunk, jó, 

ha tudjuk, hogy valószínűleg minden 
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Protocols served from zone Internet to clients in zones: 


Defined Network Zones: / . 


Local 


Virtual Network al 
Computing 


Description: 

VNC is used to work 
remotely on 
computers desktop 
via an IP network. 


X Window System 
a EzMail 
a ÉzMedia 
9 Miscellaneous 
za 8lNetwork 


Medium 





Security Risk: E 


rendben van. Adjuk meg a rendszer- 
gazda jelszót, és indítsuk a programot 
úgy, hogy teljes hozzáféréssel rendel- 
kezik a tűzfalhoz. 

A Guarddog fő kezelőfelülete négy 
lapból áll, amelyek Zone (Iartomány), 
Protocol (Protokol]), Logging (Napló- 
zás) és Advanced (További beállítások) 
címkével rendelkeznek (4. ábra). 

A Zone lapon két előre meghatározott 
tartomány szerepel. A Local (Helyi) 

a helyi címhez érkező forgalmat jelöli, 
az internet pedig a rendszert elhagyó, 
az internetre irányuló forgalmat. Ez 
nagyon fontos. A Guarddog a semleges 
terület (Demilitarized Zone -— DMZ) be- 
állítások, különböző kártyák és ehhez 
hasonlók alkalmazásával viszonylag 
könnyűvé teszi a bonyolult tűzfalak 
létrehozását. Egyelőre összpontosít- 
sunk az alapvető asztali tűzfalbeállítás- 
ra, ami egy internetre kapcsolódó gép. 
Ahogy elindítjuk a Guarddogot 
(parancsnév guarddog) és az Apply 
(Alkalmazás) gombra kattintunk, 
azonnal működésbe lép a tűzfal, és 
minden bejövő illetve kimenő forgal- 
mat visszatart. Ez egy erősen korlátozó 
beállítás, ezért nagy biztonságban va- 
gyunk. lalán egy túlságosan is: semmi 
sem jut ki vagy be - ez az egyik nyo- 
mós érv, amiért érdemes először nem 
rendszergazdaként kísérletezni. Ez 
nem olyan furcsa, mint amilyennek 
előszörre tűnik. A DMZ-ben található 
rendszerek összetettebb tűzfalait, 
rendszerint kizárják a belső hálózatról, 


SNMP - Simple Network Management Protocol 
SSH - Remote Login Protocol 

SUN Remote Procedure Call 

SWAT - Samba Web Administration Tool 


VNC - Virtual Network Computing 


Webmin web-based admin istration for Unix systems ! 
X Display Manager Control Protocol 


Ő - protocol is blocked. HI - protocol is permitted. EA - protocol is rejected. 
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és csak néhány külső szolgáltatást 
kapcsolnak be. Ha túlságosan védett 
területre kerülnénk, kattintsunk az 
Advanced lapra, majd pipáljuk ki 

a bal felső sarokban szereplő Disable 
firewall (Tűzfal kikapcsolása) jelölő- 
négyzetet, ezután pedig kattintsunk 

a jobb alsó sarokban található Apply 
gombra. Szintén az Advanced lapon 
található az a gomb, amellyel vissza- 
térhetünk a Guarddog alapértelmezett, 
mindent tiltó gyári beállításaihoz. 

Így vagy úgy, engedélyeznünk kell 
bizonyos forgalmat. Kattintsunk 

a Protocol lapra, és megjelenik a kü- 
lönböző forgalomtípusokat képviselő 
kategóriák listája: Chat (Csevegés), 
Data Serve (Adatszolgáltatás), File 
Iransfer (Fájltovábbítás) , Game (Játék), 
Interactive Session (Interaktív munka- 
menet), Mail (Levelezés) , Media 
(Média), Miscellaneous (Vegyes), 
Network (Hálózat) és User Defined 
(Felhasználói beállítás). 

Minden kategória mellett látható egy 
plusz jel, az önálló protokollok pedig 
almenükben jelennek meg. Kattint- 
sunk az egyes protokollokra, és a bal 
alsó táblában megjelenik a rövid le- 
írásuk, valamint az általuk képviselt 
biztonsági kockázat becsült mértéke. 
A protokollok neve mellett egy-egy je- 
lölőnégyzet látható, amelyekre kattint- 
va letilthatjuk, engedélyezhetjük vagy 
visszautasíthatjuk az adott protokollt 
(5. ábra). Ahogy korábban említettem, 
a kapu alaphelyzetben tiltott. Egyszer 


kattintva engedélyezzük a protokollt, 
ha pedig újból kattintunk, visszauta- 
sítjuk a csomagot. 

A tűzfal korlátozó jellegét tekintve 
először végignéztem az internet tarto- 
mány protokolljait, és engedélyeztem 
mindent, ami szükséges (például 
azonnali üzenetküldés, e-mail, 
webböngészés és így tovább). Ezekre 
van szükség egy olyan asztali munka- 
állomáson, ahol lényegében minden 
kimenő forgalom engedélyezett. 

A változtatások elvégzése után kattint- 
sunk a fő ablak alján található Apply 
gombra az új tűzfalbeállítás érvényesí- 
téséhez. Egy kis felugró ablak figyel- 
meztet, hogy a működő tűzfalon 
végrehajtott módosítások hatással 
lehetnek a meglévő kapcsolatokra. 
Kattintsunk a Continue (Folytatás) 
gombra a tűzfal újbóli élesítéséhez. 
Ha valamilyen kiszolgálót működte- 
tünk (például Samba fájlmegosztást), 
szinte hallhatjuk a kedves kiskutya 
morgását, ugye? Esetleg biztonságos 
héjszolgáltatás (SSH) is fut annak ér- 
dekében, hogy ezt a gépet egy másik, 
otthoni vagy irodai számítógépről el- 
érhessük. Kattintsunk a Local tarto- 
mányra, és válasszuk ki azokat a pro- 
tokollokat, amelyekkel forgalmat 
bonyolítunk. Ne feledjük, hogy ez 
most bejövő forgalom, tehát nem 
szabad túl nagylelkűnek lenni. 

Ha már erről van szó, attól tartok, 
nemsokára záróra. Azért nem kell siet- 
ni. Hűséges pincérem, Francois szíve- 
sen újratölti a poharukat még utoljá- 
ra, mielőtt elbúcsúznánk. Kérem, 
emeljék magasra a poharat, mes amis, 
és igyunk egymás egészségére. 

A votré Santé! Bon appétit! 











int a bevezetőben leszö- 
geztem, ebben a cikkben 
nem célom a közkedvelt 
,Karamba" bemutatása. Még a felélesz- 
tésre sem térek ki: a sokszor bemuta- 
tott és csontig rágott témával senkit 
nem nem szeretnék feleslegesen untat- 
ni. A szokatlan bevezetést egy huszá- 
ros vágással le is zárom: a továbbiak- 
ban feltételezem, hogy az Olvasó 
(kedvenc disztribúciójának csomagke- 
zelőjével, esetleg forráskódból) már fel- 
telepítette ezt a kiváló programot, majd 
felhasználóként kiadta a superkaramba 
parancsot. A művelet eredményekép- 
pen, néhány pillanat múlva a szoftver 
már kérte is a megnyitandó ".theme 
leíró állományokat. 





szép, szebb, leghaszontalanabb 
Amikor néhány éve először kutakod- 
tam SuperKaramba témák után, némi 
iróniával , rosszmájú" következtetése- 
ket vontam le: voltak szép munkák, 
akadtak szebbek, és teljesen felesleges 
szenzorokkal felszerelt giccses darabok. 
A méltán híres 5 http://kde-look.org 
honlap ide vonatkozó választékából 

az egyik kezemen meg tudtam volna 
számolni az értelmes munkákat. Nem 
tudtam mire vélni a jelenséget, csak 
csóváltam a fejem: , Létezik olyan em- 
ber, aki azt szereti, ha az aktuális időjá- 
rást a monitorról olvassa le ahelyett, 
hogy kinézne az ablakon? Ennyire gya- 
kori, ha valakinek kevés a rendszertál- 
cán lévő óra, ezért egy éktelen nagy 
időmérőt tesz a képernyőre második 
eszközként?" De a legjobb csak ezután 
jött! Egy rendszerparaméter bűbájos 
kijelzésétől majdnem , üvöltve futot- 
tam ki a világból": az alkotó neon-sárga 


színű információkat tett rikító piros 
háttérre. Utóbbi attrakciót hosszú ideig 
egy nagyon rossz tréfának véltem, 
miszerint talán olyan szándékkal szüle- 
tett, hogy a felhasználó szeme órákon 
át káprázzon tőle. 

Végül aztán rádöbbentem, nincs ezek- 
ben semmi különös, csupán nem va- 
gyunk egyformák. Iriviális felismerés 
volt, de ahogyan két ízlés egyezése 
annyira valószínű, mint két azonos 
pofoné, úgy más irányban kerestem 

a megoldást. A szubjektív megítélés 
szülte elégedetlenségemet munkába 
fojtottam, és csináltam magamnak egy 
olyan , Karamba-témát", amitől nem 
rázott ki a hideg. Ez a hajlandóság 
szerencsére mind a mai napig meg 
van bennem, mára azonban kissé más 
megközelítésben: az előbb leírt linket 
aktívan használom, bizonyos kreáto- 
rok GPL munkáit keresve. Ezeket 

a műveket aztán jellemzően átalakí- 
tom -— saját ízlésemnek megfelelően. 


Mire kell törekedned? 


Nehéz kérdés! A választ nem is tud- 
nám úgy megadni, hogy ne szóljon 
közbe a részrehajlás ténye. Inkább 
olyan megoldást választok, ahol le- 
írom, hogy én milyen szempontok 
szerint képzelem a stílusos és hatékony 
SuperKaramba környezetet. Reménye- 
im szerint ebből az Olvasó le tudja 
majd szűrni a tanulságokat, aminek 
hatására (nézeteim helyeslése vagy el- 
lenzése által) szilárdulhat a véleménye 
— feltéve, hogy még csak , tapogatózik" . 
A hatékony munkaasztal megítélése 

a felhasználó beállítottságától függ. 
Van, aki esküszik a villámgyors 
BlackBox-ra, van aki a GNOME-ban 








talál rá a számításaira, hogy a többi 
felületet ne is említsem. Mindenki 


másképp csinálja: ismerősen cseng 

az öregecske hazai sláger — és micsoda 
igazságot rejt! Én sem vagyok kivétel: 
évek óta KDE-párti vagyok, az , ele- 
fánt méretű" környezet a kezdetektől 
fogva lenyűgöz engem is. No nem 

a méretével -— nem is az igényeivel, 
sokkal inkább az összetett képessé- 
geivel: az extráktól roskadó asztal 
mérhetetlenül sok segédprogramot 

és lehetőséget biztosít a rálátásomhoz 
mérten. Így a példaként bemutatandó 
téma felépítésénél a KDE asztalom 
megjelenését tartottam szem előtt... 


Íme, a formák és a színvilág 
Személy szerint leginkább a fehér, a fe- 
kete és a kék színekkel vagyok kibékül- 
ve — ezeket (és árnyalataikat) huzamo- 
sabb ideig is el tudom viselni a képer- 
nyőmön. Pontosítanék: kizárólag csak 
ezeket tudom elviselni... A mindenható 
eléggé kényes látást , programozott" 
nekem: sajnos még egy csodaszép, szí- 
nes természetfotó is zavaróan hat rám 
hosszú távon, így a tetszetős munkákat 
legtöbbször telítetlenné teszem. 
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Az asztalom , alapját" rendszerint 

a következőképpen alakítom ki: há- 
rom-négy szürkeárnyalatos képet be- 
másolok egy mindenki által olvasható 
(e célra tenntartott) mappába, majd 
készítek egy apró szkriptet, ami a grafi- 
kákat meghatározott szisztéma szerint 
, körkörösen" átnevezi a számítógép in- 
dulásakor. A KDE asztal hátterét aztán 
az egyik ilyen grafika tallózásával hatá- 
rozom meg, így minden egyes indítás 
után más háttérképpel fogad a profi- 
lom. Igyekszem az ikonszettekben is 
követni a kissé különc ízlésvilágomat, 
tehát a két színre szűrt remekműveket 
favorizálom. lermészetesen a menü- 
szerkezetet és a konzolokat is ehhez 
igazítom, miközben bizonyos fokú 
áttűnésre törekszem. 


Külcsín... 

Nos, egy ilyen , szürke világra" 

nem nehéz egyszerű és elegáns 
SuperKaramba témát készíteni, hiszen 
csak a színekben csökkentett környe- 
zet szabályait kell figyelembe venni. 
Képzeljünk el egy képet, ami az egész 
vizualitás alapját fogja nyújtani, lehe- 
tőleg áttetsző háttérréteggel. Nyúl- 
junk bátran a GIMP-ért! Kezdjünk 
nagyjából 200x450px méretű áttetsző 
rajzfelületen, ennek sarkait kerekít- 
sünk le, és lágy szélekkel öntsük ki 

a területet fekete színnel. A sötétre fes- 
tett réteg áttetszőségét állítsuk hatvan 
százalékosra, majd egy új rétegen 
készítsünk egy fehér színű keretet. 


ÜL 


Az eredményt ezután (összefésülve) 
el kell mentenünk tetszőleges névvel, 
mondjuk PNG formátumban (esetem- 
ben sajat.png). Ezzel a résszel meg 

is volnánk, de még ne zárjuk be 

a képmanipulátort: a műveletek 
közben szerepe lesz! 


A belbecs ereje 

A történet most kezdődik igazán: a stí- 
lusos munka belbecsben is meg kell 
nyilvánuljon. Márpedig a lekérdezett 
(és kijelzett) paraméterek terén 
szükséges némi rálátás a Linux/Unix 
pre 0Ét a; a TE Ez tté a doku- 
lett. Utóbbi leírás egyébként nem szű- 
kölködik a lehetőségek ismertetésé- 
ben! Hálózati és rendszer információk, 
merevlemez ,monitorozás" , egyéb 
programvezérlések egyaránt belesző- 
hetőek a témába. Az elképzelt megol- 
dásomban a hálózat, a merevlemez 

és a memória adatait fogjuk előtérbe 
helyezni, emellett a rendszer para- 
méterei (kernel, felhasználó, gépnév, 
asztali környezet) is szerepet kapnak 
majd. A programvezérléshez nem 
fogunk görcsösen ragaszkodni, de az 
XMMS alaptunkcióit például integrál- 
hatnánk... No, mindegy, erre a részre 
azért még visszatérek! 

Az előző blokkban leírtam, hogyan 
lehet egyszerűen elkészíteni a munka 
grafikai alapját. Tényleg nem volt nagy 
dolog, viszont most komolyan végig 
kellene gondolni az alkotás megjelené- 
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sét: a GIMP még fut, így egy újabb 
rétegen érdemes lehet kipróbálni né- 
hány lehetőséget, szövegblokkokat 
létrehozva és türelmesen rendezgetve 
(valójában a kész témát szeretnénk 
előzetesen modellezni). Az elfogadha- 
tónak ítélt skiccet hagyjuk nyitva! 

A vázlaton szereplő, megjelenítendő 
paramétereket rögzíteni kell 

a SuperkKaramba új témájának fő állo- 
mányában. letszőleges szerkesztővel 
hozzunk létre egy szöveges fájlt, 
mondjuk sajat.theme néven! Első sorát 
(saját példám szerint) kezdjük így: 


karamba x-30 y-30 w-200 h-450 


Ez a következőket jelenti: , Karamba" 
témáról van szó, aminek alapértel- 
mezett elhelyezkedése az asztal , x,y" 
pozíciójába kéretik, a kijelzőn lévő in- 
formációk helyzetét pedig egy ,wh" 
pixelméretű mátrixon fogjuk megadni 
(ez rendszerint egyezik a létrehozott 

" png háttérkép dimenzióival). 

A következő két sor így fest: 


defaultfont color-255,255,255 
s fontsize-9 font-"Tahoma" 

ss shadow-2 bgcolor-0,0,0 

image x-0 y-0 path-"sajat.png" 
53 name- "background" 


Ezzel azt közlöm, hogy az alapértelme- 
zett szöveg színe fehér lesz (RGB 
255,255,255), típusa Tahoma, kilences 
méretben. A betűknek vastag fekete 
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árnyékot szeretnék (RGB 0,0,0)! A téma 
grafikai alapját az előzőekben készített 
egyszerű sajat.png kép fogja biztosíta- 
ni, amit a pixelmátrix x,y(0,0) pontjába 
kell elhelyezni (így a mátrix és a PNG 
grafika pontosan , lefedi" egymást). 

A bevezetés ezzel meg is volna, követ- 
kezzenek kijelző alkotóelemei. 

A GIMP-pel létrehozott skicc első szö- 
veges sorában a büszke felhasználó 

és a számítógép neve , feszít". Nagyon 
fontos, hogy ez a szöveg milyen pozí- 
cióban helyezkedik el! Váltsunk át 

a képmanipulátorra, és vigyük a mu- 
tatót a rétegelt kép első gépelt sora 
elé. A szerkesztő ablak bal alsó sarká- 
ban leolvasható a pontos pozíció: ese- 
temben ez x,y(42,40) érték. Rögzítsük 
ezt is a theme fájlban, tehát a követke- 
ző sornak nagyjából így kell kinéznie: 


text x-42 y-40 sensor-program 
5 program-"echo $fUSERJG 
s hostname " fontsize-14 


Ugyebár említettem, némi gyakorlat 
szükséges a Linux parancsok terén: 

az echo parancs az aktuális szintaktiká- 
ban itt a felhasználó(vgépnév kimenetet 
adja eredményül. A pozicionálás nem 
szorul magyarázatra, viszont a sensor 
szó igen: így kell jelölni azokat az érté- 
keket, melyek nem általunk rögzített 
szövegek, hanem , szenzorszerűen" 
kiolvasott adatok. A program nevű ve- 
zérlő pedig arra utal, hogy egy külső 
programból nyerjük ki az adatokat, 
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nem pedig a , Karamba" beépített lehe- 
tőségeit használjuk (e külső program 
jelen esetben az említett echo). A hasz- 
nálandó betűtípus méreténél csúnyán 
eltértem az alapértelmezettől — azért, 
hogy ez a sor azonnal szemet szúrjon 
mindenkinek! 

Ettől kezdve kicsit kuszább lesz 

a helyzet, mivel a kijelző ugyanazon 
sorában lesz a szenzoros érték és az 
általunk megadott szöveg is, a példá- 
ban a , Kernel:" felirat, rögtön utána 
a a mag jelölése. Ezt a következőkép- 
pen tudjuk megoldani: 


text x-30 y-76 value- Kernel:" 
text x-116 y-76 sensor-program 
5 program-"uname -r" 


A pozicionálás itt sem érdemel külö- 
nösebb értelmezést, hiszen a GIMP 
folyamatosan , súg": a magassági érté- 
kek értelemszerűen egyeznek, ,x" 
irányban azonban el vannak tolva. 

Az első sorban olvasható value jelölés 
szolgál arra, hogy a , Kernel:" felirat 
statikus legyen. Eközben az uname -r 


parancs kiolvassa a mag verziószámát. 


Most több elképzelést valósítsunk 
meg ,egy körben ! 


text x-30 y-91 
value-"Környezet:" 

text x-140 y-91 sensor-program 
5 program-"kde-config -version 
s] grep KDE ] sed ést 
A 
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text x-30 y-106 value—- "Uptime: " 
text x-102 y-106 sensor-uptime 
3 format— "9Hh:9Mm:90ss" 

3 interval-1000 

text x-30 y-121 value- Dátum: " 
text x-104 y-121 sensor-time 

3 format—-"yy.MM.dd ddd" 

3 interval-60000 


Nos, így kell lekérdeznünk a KDE kör- 
nyezet verzióját, majd a sed által érde- 
mes levágunk az információ felesleges 
részét. Egyúttal megmérjük a bekap- 
csolás óta eltelt időt, hogy adott formá- 
tumban ki tudjuk jelezni (ehhez nem 
kell külső program, így itt kihagytam 

a programvezérlőt). Az uptime szenzor 
frissítését 1000 ms-os (tehát egy másod- 
perces) időközökre állítjuk, az 
interval-1000 érték segítségével. 
Végül, de nem utolsó sorban a dátum 
is a témára fog kerülni, amit percen- 
ként leellenőrzünk (ezen a ponton 
kérhetnénk jóval lomhább frissítést is, 
viszont egy esetleges éjféli ,átfordulás" 
esetén a kijelző csúnyán késne). 

A következő blokk a processzorra, 

a gyökér partícióra és a memória 
foglaltságára fog vonatkozni. Kezdjük 
a központi egységgel! A CPU adatai- 
nak lekérdezéséért egyaránt felel 

a ,külsős" cpuinfo és az uname -p 
parancs, valamint a SuperKaramba 
beépített CPU szenzora. A terhelés 
mérése másodperces ciklusokban 
esedékes, az órajel kijelzése fél 
percenként frissül: 


text x-30 y-150 value- " Hw: " 
text x-126 y-150 sensor-program 
s program-"uname -p" 

text x-30 y-165 value-"órajel:" 
text x-120 y-165 sensor-program 
3 program-"cat /proc/cpuinfo I] 


grep "cpu MHz" ] sed -e 
mm :.s/.:: //"] sed -e 
Sz ESZ sss MAZ 


— interval-30000 

text x-30 y-180 

svalue- Terhelés: " 

text x-148 y-180 sensor-—cpu 
— format—"9v9" interval-1000 


Ezek után már semmiség a gyökér 
és a központi tár mérése, kijelzése. 
Erre a célra szintén a beépített szenzo- 
rokat használhatjuk legegyszerűbben: 


text x-30 y-212 
ssvalue—-"Memória:" 
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text x-98 y-212 sensor-memory 
s format— "9um / tm Mb" 

text x-30 y-227 value-" Gyökér 
foglalt: " 

text x-146 y-227 sensor-disk 
s format— "9up2" mountpoint—"/" 


A hálózati vezérlő sem maradhat ki 
a listából, a befelé és a kifelé mutató 
adatforgalom sebességét szeretném 
monitorozni: 


text x-30 y-260 value- "Hálózat 
szó (3) a 

text x-128 y-260 sensor-network 
3 device-"eth0" format-—-"91n 

5 kB/s" interval-2000 

3 decimals-1 

text x-30 y-275 value- "Hálózat 
s (fel) :" 

text x-128 y-275 sensor-network 
3 device-"eth0" format-—- "9out 
55kB/s" interval-1000 

3 decimals-1 


Most már csak egy dolog van hát- 

ra. Egy szép, aktív grafikont gondol- 
tam ki a példa elején, ami a CPU ter- 
helését mutatja folyamatában (a szán- 
dékot a skiccen megjelenítettem). 
Erre is van beépített lehetőség, amit 

a következők szerint kell használni: 


graph x-50 y-312 w-100 h-80 
5 sensor-cpu points-100 
SIGOMOGZZSISÉZSI5ÉH2155 


lehát az x,y koordinátákra kérünk egy 
fehér színű aktív grafikont, ami 100x80 
pixel szélességben 100 lehetséges érté- 
ket tud megjeleníteni. Persze az anali- 
zátor jobban mutat, ha van mögötte 
egy erre a célra készült mutatós hát- 
térgrafika. Ezt most nem részletezem, 
a GIMP segítségével gyorsan össze- 
ütök egy 130x100 pixel méretű gráfot. 
Ha elkészült, akkor a sajat.theme 
három bevezető sora után beszúrom 
negyediknek a friss-ropogós képet: 


image x-36 y-300 
3 path-"racs.png" 


Nos, ha mindennel végeztünk, akkor 
a létrehozott két képet, valamint 

a sajat.theme állományt mozgassuk 
ugyanabba a mappába - majd 

a superkaramba parancs kiadása után 
tallózzuk ki a munkánkat. Remélem, 
tetszik a letisztult a téma. A pozicioná- 


lás pontosítása ugyan még hátravan, 
de ez már teljesen személy- és asztal 
függő. Így ha valakinek nem tetszik 
egy kijelzett adat helye, akkor az xy 
koordinátákon változtasson bátran. 

A változtatások idejére azonban az ak- 
tuális témát mindig be kell zárni, kü- 
lönben a SuperKaramba (bizonyos ver- 
ziókban) futása hibával megszakad. 
Említettem, hogy akár az XMMS ve- 
zérlését is rátehetnénk az elkészült 
műre. Engedelmetekkel nem követ- 
ném el ezt a ,bűnt" (nem látom értel- 
mét), de aki mindenképpen szeretné 
megoldani, annak először is készítenie 
kell egy gombsor grafikát. Olyan képet 
kell szerkeszteni, ahol a népszerű le- 
játszó alapfunkcióihoz (előző szám, 
lejátszás, állj, következő szám) tartozó 
gombok egymás mellett sorakoznak, 

a téma szélességéhez igazodva. Nevez- 
zük a képet xmms irany.png néven! 
Ekkor a vezérlést biztosító sorok vala- 
hogy így festenek: 


image x-60 y-400 

3 path-"xmms. irany.png" 
clickarea x-60 y-400 w-20 h-20 
ss onclick-"xmms -rew" 

clickarea x-90 y-400 w-20 h-20 
ssonclick-"xmms -play" 
clickarea x-120 y-400 w-20 h-20 
s onclick-"xmms -stop" 
clickarea x-150 y-400 w-20 h-20 
ss onclick-"xmms -fwd" 


A sorok működése rém egyszerű: 
meghívjuk a gombsoros képet 
x,y(30,400) pozícióba, majd a WEB 
kapcsán ismerős Imagemap eljáráshoz 
hasonlóan területeket definiálunk. 

Az első aktív sor így értelmezhető: 

a x,y(60,400) ponttól jobbra, lefelé 
irányban 20x20px méretű területen 
figyeljük az egérgomb lenyomását. 
Ha megtörténik, akkor kiadjuk az 
xmms --opció parancsot (mivel 

a lejátszó futása például egy konzolról 
is változtatható a leírt utasításokkal). 
A teljes igazságoz azonban tartozik 
még két apró információ, amivel tarto- 
zom. Az egyik dolog egy fontos ké- 
pesség , elhallgatása": amennyiben 

a témát tartalmazó mappában létreho- 
zunk egy (bizonyos szabályok szerint 
felépülő) Python szkriptet, akkor az 
interaktivitás magasabb szintre emel- 
hető. Például a kész kijelzőn jobb 
egérklikket nyomva adott dolog tör- 
ténhet: akár a háttérgrafika cseréje, 
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vagy éppen a teljes kinézet átváltozá- 
sa. Amennyiben igény mutatkozik rá, 
akkor vissza fogunk majd térni erre 
egy későbbi számban - ahol egy 
nagyon összetett, sok blokkos, több 
ablakos interaktív téma létrehozásával 
fogok megpróbálkozni. 

A másik apróság arról szól, hogy a lét- 
rehozott munka természetesen egy- 
szerű példa jellegű. Személy szerint 

a cikk elején olvasható linkről töltöm 
le a nekem tetsző remekműveket, 
majd saját ízlésem szerint , rombolom 
szét" őket, hogy a fekete-fehérre szűrt 
asztalomhoz illeszkedjenek... 

Aki kedvet érezne saját munkák alko- 
tásához, miközben nem szeretné be- 
gépelni a leírt sorokat (vagy éppen 
nem áll kezére a GIMP), látogasson el 
fél percre a 5 http://kovi.uw.hu/lv2007 
címre! Ide töltöttem fel a cikkben sze- 
replő grafikákat nyers formákkal, és 
az aktuális theme állományt — segítség- 
képpen. Egyet kérek szépen mind- 
össze (mondjuk úgy, cserébe): ha vala- 
ki alkotott egy tetszetős és hasznos 
SuperKaramba témát, azt ne felejtse 

el önzetlenül megosztani a többiekkel, 
tehát irány a 5 http://kde-look. org! 
lartalmas kikapcsolódást! 








Wu Ha a Kedves Olvasó figyelemmel 
kíséri cikkeimet, akkor tudhatja, 
hogy ezek általában személyes ta- 
pasztalatok és benyomások útján 
születnek. Most sem lesz ez más- 
képp. Személy szerint nekem az 
egész ,képnézegetősdi" a windowsos 
ACDSee-vel kezdődött. Már a neve 
is megfogott ennek az alkalmazás- 
nak, hiszen minden keményebb 
zenéket kedvelő egyén rögtön az 
AC/DC-re asszociálhat belőle, ahogy 
tettem ezt én is. Előtte nem is gon- 
doltam volna, hogy létezik olyan 
program, mely képes az egy könyv- 
tárban lévő képeket egymás után 
,lejátszani" . 

Nos, a windowsos idők hamar elmúl- 
tak, az ablakos rendszert felváltotta 

a Linux. Kellet találni egy hasonló 
programot, mely megfelel a legtöbb 
elvárásnak. 


Képnézegető programok 

Nagyon egyszerű egzakt definíciót 
találni a képnézegető programra. 
Egy program, mellyel képeket lehet 
nézegetni. Igen ám, de ennél azért 
egy picit bonyolultabb a helyzet. 

Egy képet akár egy böngészővel is 
meg tudunk nézni. Sőt, ha jók az in- 
formációim, akkor minden operációs 
rendszer alatt az alapértelmezett kép- 
néző program egy webböngésző. 
lermészetesen ezt csak elnagyoltan 
jelenthetem ki, de az biztos, hogy 
Windows alatt az Internet Explorer, 
míg a linuxos grafikus felületek favo- 
ritja, a KDE alatt a Kongueror az alap- 
értelmezett képnéző alkalmazás. 


/homefrhiad 
Edcc 
EnDesktop 
Efirefox 
EZ gaim-wv-1 .2.0 

1! Eg gnormalize-0 49 


— 


ilMéret 584 x 397 képpont 
Bájt 176 KB 
Módosítva 2001. július 31., 02.27 


A képnézegető programok azonban 
többre hivatottak, mint szimplán 
képek nézése. Lehet velük képeket 
manipulálni, forgatni, átméretezni, 
stb. Számtalan ilyen alkalmazás léte- 
zik, számtalan operációs rendszerre. 
Jelen esetben e család egy pehely- 
súlyú tagját fogjuk górcső alá venni. 


gihumb 


A gThumb nevű alkalmazás egy kép- 
nézegető és böngésző program, mely 
beleépül a Gnome grafikus környe- 
zetbe. lermészetesen, — mint már 
megszokhattuk - ez nem jelenti azt, 
hogy más grafikus felületek alatt 

ne tudnánk használni. Kinézete 








homogén, köszönhetően a GIK-nak, 
így bármely ablakozó sémájához illik. 
Jelenlegi stabil verziója a 2.6.9., 

ami a hivatalos honlapról letölthető 
(2 http://gthumb.sourceforge.net/). 


Telepítés 

Minden Linux disztribúció, amely 
tartalmazza a Gnome felületet, tartal- 
mazza a gThumb-ot is. Ha ez mégsem 
állna fenn, akkor az alkalmazást 
telpítenünk kell. Legegyszerűbben 
disztribúciónk Ítp-szerveréről telepít- 
hetünk. Például Debian GNU/Linux 
alatt az 


apt-get install gthumb 
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paranccsal. Ilyenkor a telepítő 
(Debian alatt az apt) magával húzza 
a gThumb függőségeit is, ezzel 
egyszersmind gördülékenyebbé 
teszi a folyamatot. 

lermészetesen forrásból is telepíthe- 
tünk, itt azonban nagyon kell vigyázni 
arra, hogy minden függőség fent le- 
gyen a procedúra megkezdése előtt. 
Személy szerint az ftp-s megoldást 
javasolnám, már amennyiben rendel- 
kezünk csomagtelepítővel (apt, slapt, 
urpmi, emerge, stb.). 


Használat és funkciók 

A gThumb indítható menüből, 
ikonból, illetve bármilyen grafikus 
terminálba beírt 


gthumb 


paranccsal. Ezzel kezdetét veheti 

a képnézegetés. Rögtön láthatjuk, 
ha egy képeket tartalmazó könyv- 
tárba lépünk, hogy az alkalmazás 
ezen képeket megjeleníti kicsiben. 
Nézzük meg egy kicsit jobban ezt az 
ábrát! A fő ablak három részre van 
osztva: a bal felső részben láthatjuk 
a könyvtárainkat, melyekben ked- 
vünkre böngészhetünk, a bal alsó 
részben a kijelölt képről találhatunk 
hasznos információkat, illetve az ablak 
legnagyobb részében képeink minia- 
tűrjeit figyelhetjük meg. Ez az elren- 
dezés teljesen logikus, egy ablakban 
történik minden. A képek kicsinyített 
mása megkönnyíti a gyors keresést, 
a könyvtárstruktúra-ablak meg- 
könnyíti a gyors könyvtárváltást, 

az információs ablak pedig elárulja 
nekünk a kép nevét, felbontását, 
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illetve a fájl méretéről és az utolsó 
módosítás időpontjáról is tájékoztat. 
lehát a program alaphelyzetével meg- 
ismerkedtünk, lássuk most a tényleges 
használatát. Egy kicsinyített képre 
kattintsunk kétszer, így az megjelenik 
eredeti méretben. 

Megfigyelhetjük, hogy a Yoda-t ábrá- 
zoló kép nem túl nagy, így teljes mé- 
retben is az ablak közepén helyezke- 
dik el. De előtte vizsgáljuk meg az ab- 
lak legalsó információs sorát. Most ez 
helyettesíti az imént említett felosztott 
ablakban a bal alsó információs részt. 
Balról jobbra haladva láthatjuk az 
adott könyvtárban lévő képek számát 
és méretét, az adott kép méretét, illet- 
ve nagyítását (most ez pont 100970-os), 
majd pedig a felbontását és az utolsó 
módosítás dátumát. Az ablak fejléc- 
ében pedig megjelenik a kép neve. 
Lehetőségünk nyílik kicsinyíteni vagy 
nagyítani a képet. Ezen műveletekre 
a - ésa 4" billentyűk szolgálnak. 

A túl nagy képben pedig mozogha- 
tunk a billentyűzetünkön található 
nyilak segítségével. Nézzünk egy pél- 
dát erre. legyük fel, hogy csak Yoda 
fénykardjának a ,pengéje" érdekel 
minket. Nyomjuk meg annyiszor a "-H" 
billentyűt, amekkorára szeretnénk 
nagyítani a képet, illetve a nyilakkal 
pozicionáljuk magunkat a pengére. 
lermészetesen nem csak kis méretben 
nézhetjük végig az egy könyvtárban 
lévő képeket, hanem nagyban is. 
Kattintsunk az első képre (de persze 
bármelyikre lehet) kétszer, ekkor meg- 
jelenik nagyban. Ha bárhova kattin- 
tunk a képen bal egérgombbal, akkor 
megjelenik a következő kép. Így 
szépen végigmehetünk az összesen. 


e 9 
Mappák Katalógusok] Kép 


ké bi ee] p; 
Előző — Következő Teljes képernyő Megjegyzés 


e. 





Persze visszafelé is lapozhatunk, erre 

a középső egérgomb szolgál. , Gyen- 
gébbek kedvéért" vannak lapozást se- 
gítő ikonok is, azokat is használhatjuk. 
Most, hogy a legfőbb, mindennapos 
funkciókon átküzdöttük magunkat 
játékosan, nézzük egy kicsit semati- 
kusabban a gThumb szolgáltatásait. 
Az alkalmazás képnéző része egyen- 
ként jeleníti meg a képeket, beleértve 
az animációkat is, amik általában GIF 
képek. Támogatott képformátumok 
még: BMP JPEG (JPG), PNG, TIFE 
ICO, XPM. 

EXIF-adatokat (amik JPG képekhez 
vannak csatolva) nézhetünk és ezeket 
módosíthatjuk is. A megjelenített ké- 
pet forgathatjuk, tükrözhetjük, illetve 
invertálhatjuk a Kép/Átalakítás menü- 
ben. Minden átalakítás után, ha to- 
vábblépünk, a program rákérdez, 
hogy mentse-e a módosított fájlt. Ezen 
felül használhatjuk a teljes képernyős 
módot az f billentyű lenyomásával. 
Normál módba az Esc billentyűvel 
válthatunk vissza. Persze itt is 
könnyítenek a helyzetünkön a követ- 
kezőképpen: teljes képernyős mód- 
ban, ha megmozdítjuk az egeret, elő- 
jön egy úgynevezett navigációs menü. 
Ez tartalmaz normál módba vissza- 
váltó, lapozó és egyéb gombokat. 

A képböngészés is bővelkedik extra 
funkciókban. A fentebb leirt módon 
böngészhetünk a képek között, töröl- 
hetünk, másolhatunk képeket, egész 
könyvtárakat, illetve létre is hozha- 
tunk újakat. A gThumb automatikusan 
frissíti a könyvtárak tartalmát, ami egy 
nagyon-nagyon hasznos funkció. 
Nem kell folyton ki-be lépkednünk, 
hogy az új fájlokat láthassuk. 
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Ráadásul itt is — mint a webböngészők- 
ben - felvehetünk kedvenceket. Persze 
értelemszerűen itt a kedvencek nem 
webhelyek, hanem képeket tartalmazó 
könyvtárak lehetnek. Ezt a Könyv- 
jelzők menüben tehetjük meg. 
Készíthetünk katalógust is a képekről. 
Igaz, én ezt a funkciót nem haszná- 
lom, de nyilván hasznos, ha többezer 
képet szeretnénk rendszerezni. Fűz- 
hetünk megjegyzéseket egyes képek- 
hez, a katalógusokat külön könyvtá- 
rakba gyűjthetjük. Ezen felül, ami 

a legfontosabb, egy remek grafikus 
kereső is a segítségünkre van, ha nem 
akarunk minden képet megnézni 
ahhoz, hogy a keresettet megtaláljuk. 
Ezt a Szerkesztés/ Keresés menüben 
találjuk, a keresési eredményt pedig 
elmenthetjük egy fájlba. 

Elérkeztünk az egyik legfontosabb 
funkciójához a gThumb-nak, ez pedig 
a képszerkesztő. A példákhoz vissza 
fogunk térni Yoda mesterhez. 
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Az összes képszerkesztési funkció 
a Kép menüben érhető el. Nézzük 
őket sorjában: 


e Javítás: Ez az opció egy erősebb 
kontrasztot ad a képnek, tehát 
vehetjük úgy, hogy egy ,nagyge- 
nerál" jellegű javítást csinál. 


e . Átméretezés: Nem fűznék hozzá 
sok kommentárt. Az eredeti kép 
méretét változtathatjuk meg. 


e — Levágás: Lehetne téglalap kivágá- 
sának is nevezni ezt a funkciót. 
Többfajta sémából választhatunk, 
de a sablon mindig csak téglalap 
lehet. 


e — Átalakítás: Erről már volt szó 
korábban. 


e — Szürkítés: Magyarul színes képből 
fekete-fehér lesz. 





Negatív: Szép színes képből 
csúnya absztraktszínes negatívot 
készít. 


Színegyensúly: A kép RGB (piros- 
zöld-kék) értékeit változtathatjuk 
kedvünk szerint. 


Árnyalat és telítettség: A kép 
árnyalatát, fényességét és telített- 
ségét állíthatjuk. 

Fényerő és kontraszt: Értelemszerű- 
en sötét és életlen képeket javítha- 
tunk fel ezzel az opcióval. 

Poszter: Poszterszerűvé (durvábbá 
és színesebbé) varázsolhatjuk 

a képeket. 


Automatikus kiegyenlítés/ 
normalizálás/ kontraszt kifeszítése: 
Mind olyan funkciók, amiket 
már tárgyaltunk. Itt viszont 
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lehetőségünk nyílik a programra 
bízni a döntést a helyes értékek 
kiválasztásában. 


Fontos dolog, hogy programunk több- 
féle formátumba képes elmenteni ké- 
peinket: JPEG (JPG), PNG, TIFE TGA. 
Konvertálni (Eszközök/ Átalakítás más 
formátumba menü) ugyanezek között 
tud, tehát például egy jpg-t png-be 
konvertálni gThumb-bal gyerekjáték. 


Haladó funkciók 

Mint minden komolyabb program, 
gThumb is rendelkezik néhány extra 
vagy haladó funkcióval. Pár szóban 
nézzük ezeket is. 

A Fájl/Fényképek importálása 
menüben található egy varázsló, 
mely képes direkten, digitális fény- 
képezőgépről képeket importálni 

a programba. Ez az eszköz el van 
látva egy intelligens tényképezőgép- 
felismerő opcióval is. 


ee Es 
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Érdekes, és manapság közkedvelt 
funkció az úgynevezett diavetítés, 
vagy angolul slide show. A gThumb 
erre is képes. A diavetítés azt jelenti 
jelen esetben, hogy nem kell a képek 
,lejátszása" közben kattintgatnunk, 

a képek automatikusan követik 
egymást. A Nézet/Diavetítés menüre 
kattintva elkezdődik a lejátszás. 

A diavetítés beállításait a Szerkesztés/ 
Beállítások menüben találjuk. Állíthat- 
juk, hogy sima vagy teljes képernyős 
módot szeretnénk-e használni, milyen 
időközönként kövessék egymást 

a képek, illetve arról is dönthetünk, 
hogy a könyvtár elejéről vagy végéről 
kezdődjön-e a vetítés. 

Az éppen aktuális , nézett" képet 
beállíthatjuk háttérképnek az aszta- 
lunkra. Ehhez el kell látogatnunk az 
Eszközök/ Kép beállítása háttérképként 
menübe. Ez lehet középre igazított, 
mozaik, kifeszített vagy méretezett. 
lovábbi extra funkciók még a web- 
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album létrehozása, indexkép létreho- 
zása, duplán létező képek keresése, 
veszteségmentes JPG mentése, 

a képek dátumának megváltoztatása, 
illetve a sorozatos átnevezés. 
Remélem sikerült érdekes ízelítőt 
adnom ebből a programból. Egyszerű, 
mégis gazdagon bővelkedik funkciók- 
ban. Jómagam a kezdetek óta ezt 
használom, és bátran állíthatom, 
hogy teljes mértékben meg vagyok 
vele elégedve. Ajánlom mindenkinek, 
hogy tegyen egy próbát vele! 








mikor a Microsoft felhaszná- 

lók kezdenek Linux operációs 

rendszert használni, különbö- 
ző elvárásokkal érkeznek; például 
olyan tartalomszűrőt keresnek, mint 
amilyet Microsoft Windows XP alatt is 
használtak. A Linuxra áttérők gyakran 
az otthoni, különálló számítógépükkel 
kísérleteznek. Mivel a legtöbb ember 
arra használja számítógépét, hogy meg- 
felelő információkat, képeket töltsön le 
az internetről, a tartalomszűrő rendszer 
használata kulcsfontosságú — különösen 
akkor, ha a szülők és a gyermekek kö- 
zös számítógépet használnak, és a fel- 
nőtt felügyelet nem mindig megoldott. 
A DansGuardian és a Tinyproxy hasz- 
nálatával a szülők távollétükben is fel- 
ügyelhetik az internetes tartalmakat. 
A DansGuardian sokoldalú tartalom- 
szűrő; nyílt forrású szoftver, amelyet 
alapértelmezett beállításaival nem ke- 
reskedelmi használatra szántak. A ke- 
reskedelmi változathoz szánt konfigu- 
rációhoz hozzájuthatunk a megfelelő 
licenc (vagy a , SmoothGuardian") 
megvásárlásával. A Tinyproxy együtt- 
működik a DansGuardiannal - ez egy 
kicsiny, nyílt forrású program, amely 
képes értelmezni és kiértékelni a szá- 
mítógépen áthaladó információkat. 
E két eszköz együtt olyan adminiszt- 
ratív felügyeleti lehetőséget biztosít, 
mellyel hatékonyan gátat lehet vetni 
a célba vett internetes tartalmaknak. 


A DansGuardian nem más, mint meg- 
adott szavak, mondatok és képek által 
megfogalmazott áthaladásgátlók együt- 
tese, melyek révén egyes weboldalak 
letilthatóak. A DansGuardian szűrői az 
internet és a böngészőprogram (példá- 
ul Firefox) közé illesztett programként 
működnek. A Firefox a weboldalak le- 
kérését a DansGuardianhoz intézi, ami 
ezt a Tinyproxynak továbbítja — ez tartja 
a közvetlen kapcsolatot az internettel. 
Az internetről érkező adatcsomagok 

a Tinyproxyn és a DansGuardianon 
haladnak keresztül, mielőtt elérkezné- 
nek a böngészőklienshez. lermészete- 
sen csak a jóváhagyott információk 
jutnak át a szűrőkön és jelennek meg 
a böngészőablakban; tiltott webolda- 
lak esetén a DansGuardian egy , access 
denied" (, hozzáférés megtagadva") 
képernyőt jelenít meg. 

Mindez természetesen a szűrési folya- 
matnak csak egy meglehetősen vázla- 
tos leírása. Valójában ennél sokkal 
összetettebb és érdekesebb a Dans- 
Guardian és a Tinyproxy együttműkö- 
dése. Aki erre kíváncsi, látogasson el 

a DansGuardian , folyamatábra" oldalá- 
ra ( Flow of Events", lásd a cikkhez tar- 
tozó forrásokat). Itt egy mélyrehatóbb 
tanulmányt olvashatunk arról, hogy 
hogyan működnek ezek a szűrők, és 
hogy miként továbbítódnak az adatok 
a két program és az internet között. 


Amit viszont fontos tudnunk: 

a DansGuardiannak megadható sok- 
sok tilalom alá eső szó, kifejezés, URL. 
A weboldalakon található szövegek 
vizsgálatán túl a DansGuardian még 
képek alapján is tud szűrni, és meg 
tudja gátolni bizonyos fájlok letöltését. 
Ez a szűrőmódszer kombináció sokkal 
hatékonyabb, mint az olyanok, ame- 
lyek csak a tilalomlistán levő URL-ek 
alapján korlátozzák a böngészést. 
Kezdő Linux-felhasználók számára 
először bonyolultnak tűnhet 

a DansGuardian húszegynéhány 
konfigurációs fájlja — azonban világos 
útmutatást kapunk, hogy miként kell 
őket igényeinkhez mérten megszer- 
keszteni. Próbálkozásaim során alig 
kellett változtatnom ezeken, mert az 
alapértelmezett szűrési beállítások 
szinte tökéletesen megfelelnek családi 
használatra. 


Először a DansGuardiant és 

a Tinyproxyt kell telepíteni és beállí- 
tani. Ezt követően igen fontos lépés, 
hogy úgy állítsuk be az asztali környe- 
zetünket, hogy a normál felhasználók 
ne tudják egyszerűen kikapcsolni 

a tartalomszűrést. 

Telepítés előtt érdemes megvizsgálni, 
hogy disztribúciónk tartalmazza-e 

a DansGuardian és Tinyproxy csoma- 
gokat. Néhány esetben a legegysze- 
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rűbb ezeket egy grafikus felületű cso- 
magkezelővel, például a Novell SUSE 
YaST programjával vagy a Synaptic- 
kal feltelepíteni. Debian Linuxban 
elendő a a root felhasználó által 
kiadott 


apt-get install dansguardian 
s tinyproxy 


parancs. 
Ha ezen programok bináris változa- 
tai netán mégsem lennének megta- 
lálhatóak az adott disztribúcióban, 

le is lehet tölteni őket a megfelelő 
webhelyekről (lásd a cikkhez tartozó 
forrásokat). Letöltés után az INSIALL 
fájlban olvasható a telepítéshez szük- 
séges eligazítás. 


A DansGuardian és a Tinyproxy 
heállítása 

Következő teendőnk a DansGuardian 
és a Tinyproxy konfigurációs fájljainak 
testre szabása. lesztelési célokra 
Ubuntu Dapper Drake-et használok, 
így a könyvtárak és fájlnevek ezt a vi- 
lágot tükrözik. Nyilván más disztribú- 
ciók is többé-kevésbé hasonlóan szer- 
vezik fájljaikat; előfordulhat, hogy ki- 
csit körül kell nézni, hogy hol is talál- 
ható a telepítési könyvtár. A jellemzők 
átszerkesztéséhez egy közönséges 
editor is elég, mint például a GNOME 
gedit programja. 

Saját szerkesztőnkkel - root fel- 
használóként - nyissuk meg a /etc/ 
dansguardian/dansguardian.conf fájlt. 
Módosítsuk a filterport, a proxyip és 

a proxyport értékét az alábbiaknak 
megfelelően. Disztribúciónktól 
függően szükség lehet néhány 
UNCONFIGURED szóval kezdődő sor 
megjegyzéssé alakítására (,kikom- 
mentezésére") a fjel segítségével. 


f the port that DansGuardian 
ss]istens to. 

filterport - 8080 

ft the ip of the proxy-default 
is the loopback (this server) 
proxyip - 127.0.0.1 

ff the port DansGuardian 

ss connects to proxy on 
proxyport - 3128 


A DansGuardian általában a 3128-as 
portra kapcsolódik alapértelmezetten, 
mert ugyanezt a portot használja 

a méltán oly népszerű Sguid proxy is. 


Configure Proxies to Access the Internet 
0 Diréct connection to the Internet 
0 Auto-detect proxy settings for this network 





(7 Use this proxy server for all protocols 








Gopher Proxy: 








SOCKS Host: 








Ö SOCKS vá 4 SOCKSv5 
No Proxy for: ) localhost, 127.0.0.1 








Example: .mozilla.org, net.nz, 192.168.1.0/24 


0 Automatic proxy configuration URL: 
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Két utat választhatunk: vagy ezt az 
értéket állítsuk át a Tinyproxy által 
használt alapértelmezett portszámra 
(3888), vagy a Tinyproxy port értékét 
változtassuk meg a DansGuardian 
(azaz a Sguid alapértelmezett port) 
értékére. Én ez utóbbit követtem. 

A Tinyproxy testreszabásához - root 
felhasználóként — nyissuk meg 
szerkesztésre a /etc/tinyproxy/ 
tinyproxy.conf fájlt. Olvassuk végig, 

és győződjünk meg arról, hogy a lser, 
Group, Port és ViaProxyName (felhasz- 
náló, csoport, port, proxynkeresztül) ér- 
tékét szükséges-e megváltoztatnunk. 
Ha ezt az utat választjuk, akkor fon- 
tos, hogy a Tinyproxy port értékét mó- 
dosítsuk úgy, hogy a DansGuardian 
által várt 3128-as portot használja: 


$ Port to listen on. 
f 
Port 3128 


Ezek után egy terminálablakból 
adjunk ki egy 


tinyproxy 


parancsot, vagy — Debian és Ubuntu 
alapú disztribúciók esetén — egy 


sudo /etc/init.d/tinyproxy 
start 


parancsot. Ez elindítja a proxyt, és 
innentől már csak a böngészőben kell 
beállítani egy-két dolgot a telepítés 
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A böngésző beállítása a proxy használatára 





befejezéséhez. A fenti folyamat 
további tanulmányozásához érde- 
mes átolvasni a DansGuardian 


a gt ea. 


(lásd a források közt). 


A böngésző beállítása 

Az Ubuntu Linux (és még néhány más 
disztribúció) a Firefox böngészőt ajánl- 
ja alapértelmezettnek, így az alább 
vázolt lépések is erre vonatkoznak. 
Nyilván a többi (összemérhető szintű) 
böngészőben is megvannak az ezzel 
analóg lehetőségek, amiket megtalál- 
hatunk a megfelelő dokumentációban 
vagy a weben. 

A telepítés ezen utolsó lépcsőfoka 
ráállítja a böngészőt a 8080-as port 
használatára, így ez csak a Dans- 
Guardianon és Tinyproxyn keresztül 
fog tudni adatokat küldeni. Firefoxban 
válasszuk a Szerkesztés menü I Beállí- 
tások almenü I , Általános" fül ] , Kap- 
csolat beállításai" gombot. Az 1. ábrán 
látható az ennek hatására kapott 
dialógusablak, valamint az is, hogy 

a ,kézi proxybeállítás" -t miként lehet 
beállítani , localhost" HTTP-proxy 

és ,8080"-as port értékre. Ez azt fel- 
tételezi, hogy a DansGuardiant és 
Tinyproxyt minden munkaállomáson 
használni fogjuk. Ha egy külön szer- 
veren állítjuk be a DansGuardiant 

és Tinyproxyt, akkor a HTTP-proxy ér- 
tékét értelemszerűen nem localhost- 
ra, hanem a DansGuardiant és 
Tinyproxyt futtató gép nevére 

vagy IP-címére kell állítani. 





Access has been Denied! 


Access to the page: 


... has been denied for the following reason: 


You are seeing this error because what you attempted to 
access appears to contain, or is labeled as containing, material 
that has been deemed inappropriate. 


If vou have any gueries contact your ICT Co-ordinator or 
Network Manager. 


YOUR ORG NAME 


Powered by DansCuardian 


Mm 2. ábra Tipikus DansGuardian , hozzáférés megtagadva" oldal 











(JJ Executing system administration tasks 





Monitor system logs 


Send and receive faxes 


]  ( 


) Setup printers 


( 
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se floppy d 
se scanner devices 


e serial devices such as Modems and Palm Pilots 
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se tools that establish dial up connections 
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(Us 


e video acceleration 
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MI 5. ábra Ubuntu Dapper Drake felhasználói 
jogosultság-beállító 





A böngésző újraindítása után ellen- 
őrizhető, milyen jól működnek a szű- 
rők. Egy-egy új szűrő kipróbálásakor 
a 2. ábrán láthatóhoz hasonló, hozzá- 
férést megtagadó képernyőt kell 
látnunk. Mielőtt továbblépnénk, érde- 
mes körbejárni, milyen gondok adód- 
hatnak az alapértelmezett beállítások 
miatt. Én pl. gyakran töltök le .tar és 
egyéb hasonló , végrehajtható" fájlo- 
kat. Az eredeti konfiguráció leállítja 
ezen fájlok letöltését. Ennek orvoslá- 
sához a bannedextensionlist.txt fájlt 
kell szerkeszteni; a sor elejére írt 77 jel 
által megjegyzésbe lehet tenni azon 
kiterjesztéseket, amiket át szeretnénk 
engedni a szűrőnkön. 

Az érdeklődőbb olvasóknak azt 


javaslom, hogy rágják át magukat 





valamennyi DansGuardian konfigurá- 
ciós .txt fájlon, hogy felelősségteljesen 
legyen testreszabva a szűrők működé- 
se. Nyilván nem lehet elképzelni az 
összes szituációt, amibe valaha is bele- 
futunk, mégis, ez egy jó alkalom arra, 
hogy némileg belelássunk eme alkal- 
mazás fantasztikus lehetőségeibe. 


Nincs tökéletes rendszer. Van néhány 
nyilvánvaló megoldás, amellyel ki 
lehet játszani a DansGuardiant és 

a Tinyproxyt; főleg, ha a felhasználók 
könnyedén ki tudják kapcsolni 

a proxyt és a szűrőket. Ha ezt nem 
akadályozzuk meg, akkor vissza lehet 
állítani a Firefox beállítási menüjében 
a közvetlen internetkapcsolatot, ami 
elkerüli a DansGuardian és Tinyproxy 
használatát. Innentől kezdve pedig 
korlátlan internetelérés áll a felhasz- 
nálók rendelkezésére. 

Van néhány módszer arra, hogy biz- 
tonságosabbá tegyük a DansGuardian 
szűrőit azáltal, hogy minden internetes 
adatáramlást a 8080-as porton kénysze- 
rítünk át. A DansGuardian webes do- 
kozás, ami elmagyaráz egy remekül 
kigondolt módszert, amely a FireHol 
segítségével ezt a kényszerfeltételt 
minden internetes adatkapcsolatra 
érvényesíti (lásd a forrásokat). 

A kezdő felhasználók készíthetnek 
egy egyszerűbb szűrési tervet is. 

Ez azon alapul, hogy vannak korlá- 


tozott jogosultságú felhasználók, 
akik számára rögzítünk bizonyos 
böngészőbeállításokat, valamint 
beállítjuk, hogy a számítógép bekap- 
csolásakor mindig elinduljanak 

a proxyszűrők. 

Tesztelési célra készítettem egy új fel- 
használói azonosítót Ubuntu Dapper 
Drake-et futtató számítógépemen 

(3. ábra). Bizonyos jellemzők megadá- 
sával szigorúan leszabályoztam eme 
felhasználó képességeit, oly módon, 
hogy ezek a jogosultságok azért 
bőven használhatóak legyenek bárki 
számára, aki nem különösebben jára- 
tos a számítógépes világban, vagy 
egyszerűen csak nem kellően meg- 
bízható. Az update-rc.d vagy fcconf 
segítségével meg lehet határozni, 
hogy mely programok induljanak 

el rendszerbetöltéskor. A magam ré- 
széről a BUM nevű programbetöltés- 
szervezőt használom a DansGuardian 
és a Tinyproxy elindítására. 

Végül le kellett zárnom a Firefox beál- 
lításait. Ez nem olyan nagy feladat, 
mint amekkorának első hallásra tűnik. 
Olvastam egy részletes, régi (szerzői 
jogokkal védett) cikket Warren Togami- 
tól (lásd a forrásokat) , Mozilla be- 
állításlezárási HOGYAN LISP Linux 
számára", (, HOWTO Lock Down 
Mozilla Preferences for LISP") címmel. 
Én azonban nem szeretnék mélyreha- 
tó bitbuherálással zűrzavart teremteni, 
mikor ennek egyszerűbb módja is van. 
Miután beleástam magam 

a 5 Mozilla.org weboldalának átolva- 
sásába, arra jutottam, hogy elegendő 
egy lockPref utasítást beírni a Firefox 
konfigurációs fájljába ahhoz, hogy 

a felhasználók ne tudják megvál- 
toztatni a kapcsolati beállításokat. 
Szerkeszteni kezdtem tehát a /usr/lib/ 
firefoxffirefox.cfg fájlt, ahogy az 

az 5. ábrán is látszik. Az utolsó három 
sor kényszeríti ki a localhost kézi 
proxybeállítását a 8080-as portra. 

E fájl elmentése és a Firefox újraindí- 
tása után már nem lehetséges a kap- 
csolati beállítások alapértelmezettre 
állítása. lermészetesen megfelelő ad- 
minisztrátori jogosultság nélkül a fel- 
használók nem tudják ezeket a beállí- 
tásokat átírva megkerülni a szűrőket. 


Miután ízlésünknek megfelelően 


testreszabtuk a szűrőket, fontos 
tudni, hogy bizonyos beállítások 


elévülhetnek. Egyes tiltott webhelyek 
és kifejezések hamarabb, mások ké- 
sőbb mennek ki a , divatból". Gyakran 
új weboldalak jelennek meg, és bizo- 
nyos szókapcsolatok a régiek helyébe 
lépnek. A DansGuardian webhelyén 
van egy , Extras" (, Egyebek") hivatko- 
zás, ahol a feketelistára tett oldalakról 
további információk olvashatók. Rá- 
adásul találhatunk olyan szkripteket 
is, melyeket áldozatkész felhasználók 
azért publikáltak, hogy automatizálni 
lehessen velük a feketelisták készítését 
és naprakészen tartását. 

Egy másik alternatíva az 

9 URLblacklist.com használata, mely 
az új felhasználók számára az első le- 
töltést ingyenesen lehetővé teszi. Ha 
ez megtetszik, elő lehet fizetni a to- 
vábbi remek frissítésekre. Ezeknek az 
adatoknak a DansGuardian számára 
való átalakítása megtalálható a weben. 
Érdemes figyelni, hogy a proxy és 

a szűrők mennyire lassítják a szörfö- 
zést, az oldalak betöltődését. Lehetnek 
helyzetek, amikor a felhasználóknak 
el kell viselniük bizonyos mértékű tel- 
jesítményromlást a Tinyproxy haszná- 
latakor. Saját kísérletezéseim során 
észleltem némi késést, valamint né- 
hány új tételt a böngésző gyorstárá- 
ban. A Firefox gyorstárának Ctrl-Shift- 
Del gombkombinációval való törlése 
azonban rögtön orvosolta ezt a prob- 
lémát. Előfordulhat, hogy szükséges 
lehet a Tinyproxy újraindítása az 
internetelérés sebességének növelésé- 
hez. Ezek kissé zavaróak, mégis elfo- 
gadható kompromisszumot jelenthet- 
nek a hétköznapi munka során. 


Mind a DansGuardian, mind 

a Tinyproxy készít naplófájlokat, 
melyeket az adminisztrátornak célsze- 
rű időnként átnéznie. A /var/log-on 
belül készül egy-egy könyvtár 

a DansGuardian és a Tinyproxy szá- 
mára. Egy egyszerű editorral megnyit- 
va a megfelelő fájlokat érdemes át- 
pásztázni az adatokat, hogy tudjuk, 
mi történt a számítógépen. Az egymás 
utáni sorokban tárolt információk és 
világos megjegyzések teszik egysze- 
rűbbé az események megértését. 

A DansGuardianhoz készített valaki 
egy olyan szkriptet is, amivel a kere- 
sés és az adatok kijelzése sokkal in- 
kább felhasználóbarát formátumban 
valósítható meg. 


4 


c) 
a 
md" 


File Services 2 Help 


Activate Description 


fetchrnail 
acpi-support 
bootlogd 


stop-bootlogd 





hdparm 


Mail retrieval and forwarding utility 


Saves messages at boot to a log file 


For laptops, does power management and enables hotkeys 


Standard scripts needed for booting and shutting down 


Tunes hard disk parameters for high performance 


A lightweight, non-caching, optionally anonymizing http proxy 


tinyproxy 


Web content filtering 
dansguardian 


gtk program for managing and observing your firewall 


firestarter 


y apply ) (7 Advanced 


mM / ábra A DansGuardian és a Tinyproxy beállítása — bootoláskor induljanak el 


! firefox.cfg 





[// K 
LockPref( "app.update. enabled", false); 
tockPref ( "network .proxy.type", 1); 7/ o - 


Unset 1 - Manual 2 - 


Automatic 3 - None added dse 


iLockPref( "network .proxy.http", "1localhost"); // added dse 


iLockPref( "network .proxy.http port", 8080); // added dse 


MI 5. ábra A Firefox beállításainak lelakatolása — adminisztrátori jogosultság nélkül ezek 


aletan át tíoratz tata totetélaaieie 


Sajnos a DansGuardianból hiányzik az 
a lehetőség, hogy e-mailben is elküld- 
je a naplófájlokat (ám ez könnyedén 
megoldható például a cron segítségével 
— a ford.). Erős motiváció lehet bizo- 
nyos felhasználók viselkedésének kor- 
dában tartására az a tudat, hogy egy 
felelős ember időnként átvizsgálja az 
internetes tevékenységüket. 


Mielőtt döntést hozunk a tartalomszű- 
rés fent vázolt technikai megvalósítá- 
sáról, fontoljuk meg, milyen igényeket 
szeretnénk megvalósítani az elkövet- 
kező hónapokban. Ha csak egyetlen 
számítógépről van szó, és szívesen 
bütyköl valaki konfigurációs fájlokat, 
akkor a DansGuardian valószínűleg jó 
választás. Azonban a SmoothGuardian 
is jó vásárnak tűnik a maga 90 dollá- 
ros árával. A szoftver felhasználóbarát 
webes kezelőfelületet és egy egyszerű- 
sített telepítőt is tartalmaz. 
Mindamellett a DansGuardian 

és Tinyproxy beállítása egyáltalán 

nem mutat túl még a kezdő Linux- 
felhasználók képességein sem, és az in- 
gyenes hozzájutás a legtöbb költségve- 
tésben jól fest. Eme cikk és a megadott 
hivatkozások segítségével valószínűleg 
nem lesz probléma a telepítéssel és 





futtatással. Ha valami akadály fel is 
bukkanna, a Google-n bizonyára 
könnyen megtaláljuk a megoldást. 

A DansGuardian honlapján (lásd a for- 
rásokat) hivatkozás látható egy webes 
tartalomszűrési portálra, valamint egy 
témába vágó IRC csevegőhelyre is. 
Általánosságban elmondható, hogy 

a DansGuardian és a Tinyproxy a sza- 
bad szoftveres világ élharcosai — segítik 
az átállást a Microsoft Windows kör- 
nyezetből. Megítélésem szerint a rugal- 
mas szűrőfeltételek megadásának lehe- 
tősége és a pehelysúlyú proxyterhelés 
jó választássá teszi e két program 


.z. 
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Az Apache biztonságos beállítása 


Egy neves IT cég hirdetése szerint naponta többen auditálják hálózatunkat 
— sajnos nem mindenki a mi megbízásunkból. A biztonság nem fölösleges 
luxus, hanem az a nélkülözhetetlen kiinduló állapot, ami nélkül ne is reméljünk 
jövedelmező online jelenlétet. 


W Az Apache része a legtöbb Linux 
terjesztésnek, így ma már mindenki- 
nek lehet web kiszolgálója. De bizton- 
ságos web kiszolgálót nem is olyan 
egyszerű építeni. Írásomban egy 
(viszonylag) biztonságos LAMP 
(Linux, Apache, MySOL és PHP) 
konfiguráció kialakítását mutatom be. 
Már rögtön az elején jó szem előtt 
tartani, hogy a biztonság mindig csak 
relatív lehet, az abszolút biztonság, 
mint olyan nem létezik. Tisztában kell 
lennünk azzal, hogy ha egy támadó- 
nak megfelelő erőforrása (idő, pénz, 
számítási teljesítmény, ...) van, akkor 
be tudja venni a várat. 

Egy átlagos betörés jellemzően infor- 
máció gyűjtéssel kezdődik, a támadó 
apró, lényegtelennek tűnő mozaikda- 
rabokból összeállítja a cél profilját, 
kiválasztja a behatolási pontot, majd 
azon keresztül bejön, elveszi, amit 
akar, törli a nyomokat, majd angolo- 
san távozik. 

A biztonságos kiszolgálónkat ezért 
úgy alakítjuk ki, hogy a lehető legke- 
vesebb információt szivárogtassuk ki, 
és a lehető legkevesebb dologhoz en- 
gedünk hozzáférést a világnak. 

Bruce Schneter elhíresült mondása 
szerint a biztonság nem egy termék, 
hanem egy folyamat. A biztonság 
számtalan láncszemből áll össze, 

és talán nem árt hangsúlyozni azt 

a közhelyet, hogy olyan erős a lánc, 
mint a leggyengébb láncszem. 

Sok éve már, hogy egy ifjú titán maga- 
biztosan állította, hogy az ő gépén 
Mandrake tut, úgyhogy jobb, ha előre 
feladja bárki. Én ennél egy kissé óva- 
tosabb vagyok, és azt tanácsolom, ne 


ringassuk magunkat abban a hamis il- 
lúzióban, hogy csak azért, mert Linux 
és Apache fut a gépünkön, nem érhet 
bennünket egy idegen nyelvű felirat 
kellemetlen híre egy borús reggelen. 
Csábító a lehetőség, hogy telepítsük 

a Linux terjesztésünkben található 
Apache és PHP csomagot. Azonban 
ezek jellemzően (szinte) minden funk- 
cionalitást tartalmaznak, ami nekünk 
nem jó. Wietse Venema írta valahol, 
hogy a Postfix kódjának minősége kb. 
1 hiba (bug) 1000 soronként. Ha ezt át- 
lagnak tekintjük, könnyen belátható: 
minél több (felesleges) funkció van 
egy programban, statisztikailag annál 
több (kihasználható) hiba lehet benne. 
Ezért csomagból csak a MySOL prog- 
ramot telepítsük. 

Kedvenc Linux terjesztésünk telepíté- 
se során alakítsunk ki megfelelő mére- 
tű /, /usr, /var, /(tmp, /home partíciókat, 
és készítsünk egy nagy /opt partíciót, 
ez utóbbi fogja tárolni a web kiszolgá- 
lónkkal kapcsolatos összes állományt. 


Készítsünk ketrecet! 

Miként a veszélyes állatokat ketrecben 
tartják, úgy a veszélyes programot is 
célszerű bezárni, hogy ha a támadó- 
nak sikerül -— pl. egy programhiba se- 
gítségével — átvenni felette az ellenőr- 
zést, ne okozhasson (még) nagyobb 
bajt, ne férhessen hozzá a gép más 
részeihez. A chroot() rendszerhívás ill. 
a chroot parancs hatására az adott 
program az argumentumban meg- 
adott elérési utat látja a továbbiakban 
gyökérkönyvtárként, és csak az az 
alatt található dolgokhoz férhet hozzá. 
Készítsük el első lépésben a , ketrecet" 


a /opt/jail könyvtár alatt! Az 1. Listában 
szereplő makejail.sh héjprogram segít 
ebben, argumentumként a kezdő- 
könyvtárat kell megadni, például az 


sh makejail.sh /opt/jail 


parancs a /opt/jail alatt hozza létre 

a szükséges környezetet. Az Olvasó 
gépén esetleg más állományokra is 
szükség lehet. 

Ez a héjprogram létrehoz egy mini- 
mális környezetet, amely az Apache 
futtatásához feltétlen szükséges. Bi- 
zonyára feltűnt az Olvasónak, hogy 
a /etc könyvtárban nem szerepel jel- 
szavakat tartalmazó állomány (példá- 
ul /etc/shadow), és a /etc/passwd állo- 
mányban is csak a nélkülözhetetlen 
felhasználók szerepelnek. Hogy 
még keményebb legyen a dió, a /etc 
könyvárban mindenre bekapcsoljuk 
az úgynevezett inmutable attribútu- 
mot (51-i), amely megakadályozza, 
hogy az itt lévő állományok meg- 
változhassanak. Ezután a program 
bemásol néhány könyvtárat (library), 
amelyek az Apache működéséhez 
szükségesek. 

Nagyon fontos, hogy a chroot könyv- 
tárba csak a valóban nélkülözhetetlen 
állományokat helyezzük el. Ne feled- 
jük, minél kevesebb dolgot talál itt 

a támadónk, annál kevesebb kárt 

tud okozni. Azt is szeretném itt meg- 
jegyezni, hogy a root felhasználó ill. 
az ő jogaival futó programok kitörhet- 
nek a ketrecből, ezért hacsak különö- 
sen jó okunk nincs rá, semmiképpen 
ne helyezzünk itt el setuid/setgid 
programokat. 








1. Lista Az mkjail.sh héjprogram 


$1!/bin/sh 
ítát 
ítt mkjail.sh 


if L[ $$£ -ne 1 1]; then echo 
sz "usage: $0 cjail directorys"; 
soexit b fi 


if L ! -d $1 1]; then mkdir -p 
s S 


cd $4V II exit 2: 
mkdir dev etc lib usr www 


f néhány device is szükséges 
mknod dev/null c13 

chmod 666 dev/null 

mknod dev/hwrandom c 10 183 


cp /etc/resolv.conf etc 
cp /etc/localtime etc 


f csak a legszükségesebb 

5 -nformációt tesszük be 

ssa kalitkába 

echo "root::0:" 5 etc/group 
echo "nobody: :98:" 55 etc/group 
echo "nogroup::99:" 55 etc/ 

5 group 

echo "httpd::7002:" s5s etc/ 

s group 


echo "root:x:0:0::/:/bin/sh" 5 
ss etc/passwd 


Hogy minél kevesebb állományt 
kelljen a kalitkába másolni, az 
Apache-ot statikusan fordítjuk le. 
Töltsük le az Apache 1.3.37 verzióját 
a 5 http://httpd.apache.org/ 
download.cgi címről, a hozzá 

tartozó mod ssl nevű SSL foltot 

2 http:/www.modssl.org/source/ 
mod ssl-2.8.28-1.3.37.tar.gz, 
webhelyről továbbá szükségünk 

lesz még a PHP 4.4.4-es verziójára 

a 2 http://www.php.net/downloads.php 
oldalról. A PHP számára MYySOL tá- 
mogatást is biztosítunk, a példában 
feltételezzük, hogy a mysg[-standard- 
4.1.21-pc-linux-gnu-i686.tar.gz állo- 
mány a /usr/local/mysal könyvtár 

alá lett telepítve. 


echo "nobody: x:99:99:nobody: / 
s oblivion:/bin/false" 55 etc/ 
ss passwd 

echo "httpd:x:7002: 7002 : : / 

s oblivion:/bin/false" 55 etc/ 
5 passwd 


echo "127.0.0.1 localhost" 5 
5 etc/hosts 


$ immutable attribútum 
ff bekapcsolása 
chattr 41 etc/" 


cp /1ib/ld-linux.so.2 lib 

cp /lib/libc.so.6 lib 
GDZAKNSZTENÖEI; BE ÉS OLE K[6 
CosZAlkozalaőenkES tó szálknó 

cp /lib/libm.so.6 lib 

cp /lib/libnsl.so.1 lib 

cp /lib/libnss compat.so.2 lib 
cp /lib/libnss files.so.2 lib 
cp /lib/libresolv.so.2 lib 

cp /lib/librt.so.1 lib 

cp /lib/libtermcap.so.2 lib 


mkdir usr/lib usr/local usr/ 
mm local/bin usr/local/etc 


mkdir www/log www/1og/.tmp www/ 
s data www/phpsessions www/ 

5 data/ww.fiktivceg.hu 

chmod 700 www/phpsessions 

sz www/log 

chown httpd:httpd www/ 

s phpsessions 


Első lépésben csomagoljuk ki a letöl- 
tött állományokat: 


tar zxvf mod ss1-2.8.28- 

sb T.3.37.tar.gdz 

tar zxvf apache 1.3.37.tar.gz 
tar jxvf php-4.4.4.tar.bz2 


Aztán alkalmazzuk az SSL foltot 
(mod ssl: 


cd mod ss1-2.8.28-1.3.37 
. /configure --with- 
 apache-. ./apache 1.3.37 


A 2. Listában látható utasítások- 
kal konfiguráljuk az Apache-ot, 
definiáljuk a MySOL telepítésének 
könyvtárát, hozzáadunk néhány 


2. Lista Az Apache konfigurációja 


cd ../apache 1.3.37 
CFLAGS-"-static ON 
LDFLAGS-"-L/usr/local/mysgl/ 
SETT0 ex 

LIBS-"-lcrypt -lcrypto -Iss! 
sz -]mysgaglclient r -Iz 
s5-]resolv -Ipthread -I]Im -I]gd 
SS GAGEREN 
INCLUDES-"-I/usr/local/mysgl/ 
sernelüde" X 

. /configure N 
-prefix-/usr/local/ 

5 apache-1.3.37.N 
-enable-module-include N 
-disable-module-so NM 
-disable-module-userdír N 
-disable-module—-info NN 
-enable-module-status N 
-enable-module-ss ha N 
-activate-module-src/modules/ 
5 php4/libphp4.a 


KKN JN KRKCÓRN B 0 Hi 
3. Lisia, Beallijuk a P-t 


cd ../php-4.4.4 

. /configure N 
--prefix-/usr/local/php. N 
--with-zlib N 

--w1 th-openss LN 
--with-config-fi1le-path-/usr/ 
sz Jocal/eteN 
--with-apache-. . / 

ssapache 1.3.37. 

--with-gd N 

--w1 th-mysag1-/usr/local/mysal 
make 


extra könyvtárat (library), ill. 
beállítjuk a statikus fordítást. 

Most még ne fordítsuk le az Apache- 
ot, hanem konfiguráljuk és fordítsuk 
le aPHP modult, ahogyan az a 3. Lis- 
tában szerepel. lermészetesen egyéb 
kapcsolókat is használhatunk, ha extra 
funkciókra is szükségünk van. 
Másoljuk át a szükséges állományokat 
az Apache megfelelő könyvtárába: 


cd ../apache-1.3.37 
cp ../php-4.4.4/sapi/apache/ 








mod php4." src/modules/php4 
cp ../php-4.4.4/sapi/apache/ 

sz ]ibphp4.module 
src/modules/php4 

cp ../php-4.4.4/sapi/apache/ 

s apMakefile.libdir src/ 

3 modules/php4/Mmakefile.libdir 
cp ../php-4.4.4/sapi/apache/ 

s apMakefile.tmpl 
src/modules/php4/Makefi le. tmpl 
cp ../php-4.4.4/.l]ibs/libphp4.a 
5 src/modules/php4/1]ibmodphp4. a 


Futtassuk újra az Apache konfiguráló 
programját, hogy az src/modules/ 
php4 könyvtárban is létrejöjjön 

a Makefile állomány, majd fordítsuk 
le és telepítsük. A figyelmes olvasó- 
nak feltűnhet, hogy a /opt/jail mint 
gyökérkönyvtár (/) alá telepítjük 

az alkalmazást: 


sh config.status 
make 

su -c "make install 
5 root-/opt/jail" 


,Ez a webhely biztonságos, mert SSL 
tanúsítvánnyal rendelkezik". Egy idő- 
ben több web oldalon is láttam ezt 

a némileg megtévesztő szöveget, 
amely azt az érzetet kelti a látogató- 
ban, hogy itt nyugodtan megadhatja 
az adatait, mert az jó kezekben lesz, 
ott semmi baj nem történhet. A titkosí- 
tott kapcsolat jó dolog, főleg ha éppen 
a személyes adatainkat adjuk meg egy 
vásárlás során, esetleg a bankszám- 
lánkkal kapcsolatos ügyeket intézzük 
a fotelból. A valóságban azonban 

a kriptográfia (például SSL) alkalma- 
zása nem tesz egyetlen kiszolgálót 
sem biztonságosabbá. A kis lakat 

a böngészőben nem jelent se többet, 
se kevesebbet, minthogy a látogató 
gépén futó böngésző és a távoli web 
kiszolgáló között egy titkosított csator- 
na jött létre, és az ebben haladó ada- 
tok biztonságban vannak egy esetle- 
ges hallgatózó harmadik féllel szem- 
ben - hacsak nem az egyik kormány 
szuperszámítógépe érdeklődik vala- 
melyik tranzakciónk iránt. Az elkészí- 
tett Apache-unk támogatja az SSL tit- 
kosítást, már csak egy kulcsot és egy 
tanúsítványt (certificate) kell készíte- 
nünk. A 4. Listában az ehhez szüksé- 
ges parancsok, ill. azok képernyőre írt 


4. Lista SSL kulcs és tanúsítvány 
készítése 


$openss] genrsa 2048 5 /opt/ 
ss jail/usr/local/etc/ 
s ww.fiktivceg.hu.key 


Generating RSA private key, 
52048 bit long modulus 


e is 65537 (0x10001) 


$openss] reg -new -key /opt/ 
ss Jail/usr/local/etc/ 
s ww.fiktivceg.hu.key 5 1.csr 


Country Name (2 letter code) 
s [AU] : HU 

State or Province Name (full 
s name) [Some-Statel]:Hungary 
Locality Name (eg, city) 

s [] :Budapest 

Organization Name (eg, company) 
ss [Internet Widgits Pty Ltd]: 
ss Fiktiv Ceg 

Organizational Unit Name (eg, 
ss szect1on) [T[: 


üzenete látható. (A parancsok előtt 

a $ prompt áll, amit nem kell begépel- 
nünk) A CSR állomány készítésekor 
ügyeljünk arra, hogy a , challenge 
password" kérdésnél ne adjunk meg 
jelszót, ellenkező esetben az Apache 
(minden újrajindításakor be kell 

azt gépelnünk. 

A példában mi magunk írjuk alá a ta- 
núsítványt, ami arra ugyan jó, hogy 
titkosított kommunikációt folytassunk 
egy belső hálózaton, de mindenkép- 
pen ajánlott egy hatósággal (CA) 

— például NetLock, VeriSign, Thawte — 
aláíratni a tanúsítványunkat, ha 

az Interneten akarunk megjelenni, 

ez segít elkerülni a közbenső ember 
(man-in-the-middle) támadásokat. 
Javaslom, hogy az Apache konfiguráci- 
ós állományát (Ahttpd.conf) mozgassuk 
át a /opt/jail/usr/local/etc könyvtárba, 
az indító héjprogramot (apachectl) 
pedig az /opt/jail/usr/local/bin alá, 
továbbá készítsünk egy szimbolikus 
linket az 


Common Name (eg, YOUR name) 
sz [] :www.fiktivceg.hu 

Email Address 

ss []:infogfiktivceg.hu 


Please enter the following 
s "extra" attributes 

to be sent with your 
certificate reguest 

A challenge password L[]: 

An optional company name L[]: 


$openss] x509 -in 1.csr -out 

mm /opt/jail/usr/local/etc/ 

s www.fiktivceg.hu.cert -reg 
5. signkey /opt/jail/usr/local/ 
3 etc/ww.fiktivceg.hu.key 
Signature ok 
subject-/C-HU/ST-Hungary/ 

55 tL-Budapest/0-Fiktiv Ceg/ 

53 CN-ww. fiktivceg.hu/ 

55 emailaddress-infodfiktivceg.hu 
Getting Private key 


$chmod 400 /opt/jail/usr/local/ 
s etc/ww.fiktivceg.hu.key 
$chmod 644 /opt/jail/usr/local/ 
s etc/ww.fiktivceg.hu.cert 


5. Lista "Egy apró 
korrekció az apachectil 
állományban 


PIDFILE-/usr/local/apache/ 

s logs/httpsd.pid 
HTTPD-"/usr/local/apache/bin/ 
s httpsd -f 
/usr/local/etc/httpsd. conf" 


ln -sf /usr/local/apache-1. 3.37 
s /usr/local/apache 


utasítással. Ezek a kényelmünket 
szolgálják, verzió frissítésnél 

elég csak a szimbolikus linket 
módosítani. Az 5. Listában látható 
módon módosítsuk az apachect! 
programban az alábbi két változót, 


hogy a megfelelő állományokra 
hivatkozzon. 





6. Lista A httpd.conf állomány 


ft globalis rész 
tt 


ft httpd felhasználóként fog 
f futni az Apache 

user httpd 

Group httpd 


ServerName www.fiktivceg.hu 
ServerAdmin infodfiktivceg.hu 


f nem kérünk névfeloldást 
HostnameLookups Off 


LogLevel warn 


ErrorLog /www/1og/.tmp/ 
s error.l]og 


LogFormat "96h Zv 961 9u 9t 

sz ér" gés J7b J6(Refererji 

sz 96(User-agentjiV"" myformat 

CustomLog "]/usr/local/apache/ 

3 bin/rotatelogs /www/1og/.tmp/ 
ss access.log 10800" myformat 


f minimális adatot adunk 
ft a kiszolgálóról 

f ServerSignature Off 
ServerTokens Minimal 


cIfModule mod alias.csz 


ft szigorú korlátozások 
f a CGI-BIN könyvtáron 
cADirectory "/ww/cgi-bin": 
Allowoverride 
ss Authconfig Limit 
Options None 
order allow, deny 
Allow from all 
c/Directoryz 


c/IfModulesz 


-AIfModule mod mime. cz 
f engedélyezzük a php 
$f motort 
AddType application/ 


Indítás előtt szerkesszük az 
Apache konfigurációs állományát, 


ss x-httpd-php .php 
c/IfModulesz 


f mod ss] konfiguráció 


SSLCertificateKkeyFile /usr/ 

s local/etc/ww. fiktivceg.hu.key 
SSLCertificateFile /usr/local/ 
s etc/ww.fiktivceg.hu.cert 


AddType application/x-x509- 
5mca-cert .crt 

AddType application/x-pkcsz- 
ser eri 


sSLPassPhraseDialog builtin 
SSLSess1onCache dbm: / 


s ww/ss1/ssl. scache 
SSLSessioncacheTrimeout 300 


SSLMutex file:/www/ssl/ 
sss] mutex 


SSLRandomSeed startup builtin 
SSLRandomSeed connect builtin 


SSLLog none 
SSLLogLevel warn 


SSLCipherSuite ALL:!ADH: ! 

53 EXPORT56:RC4-HRSA: HIGH: 

53 4MEDIUM : (LOW: SSLV2:HEXP : 

3 FeENULL 

SetEnVIf User-Agent "."MSIE."" 
ssnokeepalive ss1-unclean 

ss shutdown downgrade-1.0 

s force-response-1.0 


Directory "/ww/cgi-bin": 
SSLOptions -StdEnvVars 
5 yCompatEnvVars 
c/Directoryz 


z 
f most csak egy virtuális 
f kiszolgálót defintiálunk 


NameVvVirtualHost 1.2.3.4:80 


cVirtualHost 1.2.3.4:80- 
ServerName www.fiktivceg.hu 


a 6. Listában szereplő változók 
kivételével a többi maradhat az alap- 
értelmezett értékkel. 


SSLEngine off 


DocumentRoot /www/data/ 
— ww.fiktivceg.hu 


cADirectory /www/data/ 
5 ww.fiktivceg.huz 

Options Includes Indexes 
Allowoverride AuthCconfig 
SZETT 
order allow, deny 
Allow from all 

c/Directoryz 


php. admin value 

open basedir 
"/www/data/ww . fiktivceg.hu/" 

php. admin value doc root 

 "/www/data/ 

s www.fiktivceg.hu/" 

php. admin flag 

sdisplay errors on 

php. admin value 

5 sendmail path 
"/usr/sbin/sendmail -t -i -f 
sz infodgfiktivceg.hu" 


ft engedélyezzük a fájl 
feltöltést 
php. admin flag file uploads 
son 
php. admin value 
s upload tmp dir 
/www/data/ww. fiktivceg . hu/ 
s upload 
php. admin value 
ss upload max filesize 1000k 


ErrorDocument 404 http:// 

s ww.fiktivceg.hu/z 

5 error404.php 
ca/virtualHostz 
NamevirtualHost 1.2.3.4:443 
AVirtualHost 1.2.3.4:4435 


ServerName ww.fiktivceg.hu 
SSLEngine on 


c/virtualHostz 


A PHP egy rendkívül sokoldalú prog- 
ramnyelv, amelynek a használata saj- 
nos azzal a (biztonsági szempontból) 








7. Lista Bekapcsoljuk az úgyneve- 
zett safe mode funkciót 


safe mode - On 
safe mode gid — On 


f nem kell mindenkinek tudni, 
ft hogy milyen verziójú PHP 

f fut a gépünkön 

expose php -— Off 


rendkívül kellemetlen mellékhatással 
is jár, hogy a felhasználók gyakorlati- 
lag olyan PHP nyelven megírt progra- 
mokat futtathatnak, amilyet csak akar- 
nak. Néhány óvintézkedést azonban 
megtehetünk, hogy az ebből eredő 
esetleges károkat minimalizáljuk. 
Másoljuk a PHP forrás könyvtárából 

a php.ini-recommended nevű 
állományt a ketrecbe: 


cp php.i1ni-recommended /opt/ 
s jJail/usr/local/etc/php.ini ; 
sz chmod 600 /opt/jail/usr/ 
s local/etc/php.ini 


Itt szeretném felhívni a kedves Olva- 
só figyelmét a php.ini elején található 
megjegyzésekre, amelyek a javasolt 
beállításokat tartalmazzák, közülük 
többnek van biztonsági vonatkozása. 
Mindenki kedvére szabhatja testre 

a PHP konfigurációs állományát, 

a http.conf állományban minden 
virtuális kiszolgáló (virtualhost) 
esetében egyedi értékeket lehet 
beállítani. 

A safe mode -— amelyet a 7. Listában 
kapcsolunk be - több PHP függvényre 
is hatással van, korlátozza azok műkö- 
dését, például a fopen() függvény 

nem hajlandó megnyitni azokat 

az állományokat, amelyek kívül esnek 
az open dir változó által megadott 
könyvtáron. Ez utóbbi igen hasznos 
funkció, így elkerülhetjük, hogy ille- 
téktelenek megnézzék például a jelszó 
állományunkat (/etc/passwd). 

A php.ini-ben állítsuk be a 


sess1on.Save path - /www/ 
s phpsessions 


sort, hogy a PHP itt tárolja el 
az egyes kapcsolatokhoz (session) 
tartozó információkat. 


83. Lista A modsecurity modul 
beállítása a httod.conf állományban 


-AIfModule mod security. cz 


f bekapcsoljuk a modult 
SecFilterEngine On 


ff probléma esetén 403-as 
f HTTP státusz kódot ad 
f vissza, és elutasítja 
f a kérést 
SecFilterDefaultAction 
sz "deny, log, status:403" 


f néhány józan 

ft alapértelmezett beállítás 
SecFilterScanPoST On 
SecFiltercheckURLEncoding 
On 

SecFiltercheckuni code 

ss Encoding Off 


f a 0 byte érték 

ft kivételével mindent 

f elfogad 
SecFilterForceByteRange 1 
925 


álcázza a kiszolgáló 
típusát és verzióját 
SecServerSignature 
"Microsoft-IIS/5.0" 


tk dk dk dt 


f az ideiglenes 

f állományokat itt tárolja 
Secuploadpir /www/tmp 
SecuploadkeepFiles Off 


$ csak a lényeges adatokat 

$ naplózza 

SecAuditEngine Relevantonly 
SecAuditLog /www/1og/.tmp/ 

3 modsec audit.log 


A display. errors direktíva bekap- 
csolását nem javasolja a PHP kézi- 
könyve, mert az esetleges hibaüzene- 
tek információt adhatnak a támadó- 
nak. Azért javaslom mégis, mert 

ezek a hibák elcsúfítják a honlapun- 
kat, így rákényszerítik a web fejlesz- 
tőket, hogy olyan kódot írjanak, 

ami nem eredményez hibákat. 

A sendmail. path változó levelezés 
esetén hasznos, például űrlap kitölté- 
sének visszaigazolásakor, az SMTP 


f nem akarunk túl részletes 
ff naplózást 
SecFilterDebugLevel 0 
SecFilterDebugLog /www/1og/ 
s .tmp/modsec debug. log 


ff csak azokat a kéréseket 
ft fogadjuk el, amelyeket 
f kezelni is tudunk 
SecFilterSelective 

53 REOUEST. METHOD 

sz "I AC(GETIHEAD)$" chain 
SecFilterSelective 

5 HTTP. Content-Type 

sz "1! (Aapplication/x-www 
— -form-urlencoded$] 

s Amultipart/form-data;)" 


íf GET és HEAD kéréseket nem 
ft fogadunk el törzzsel 
SecFilterSelective 

535 REOUEST METHOD 

sz "A(GET]HEAD)$" chain 
SecFilterSelective 

S HTTP. Content-Length "!1A$" 


f minden POST kérésnél meg 
f kell adni a hosszát is 
SecFilterSelective 

53 REOUEST. METHOD "APOST$" 
s chain 

SecFilterSelective 

55 HTTP. Content-Length "A$" 


$ csak ismert átvitel1 
f kódolást fogadunk el 
SecFilterSelective 


HTTP Transfer-Encoding 
tesz 1 I A$" 


c/IfModules 


kapcsolat MAIL FROM: paraméterét 
rögzíti fix értékre, így nyomon lehet 
követni, hogy az egyes leveleket 
melyik virtuális kiszolgáló küldte el. 
Az is hasznos lehet, ha letiltjuk 

a phpinfoO függvényt, amely 

túl sok információt tud, még azt is 
megmutatja, hogy a PHP-t fordító 
felhasználónak mi volt a $PATH 
változója. Egy adott függvényt 

a disable functions paraméternél 
felsorolva tudunk letiltani, például: 











disable functions - phpinfo, 
sshell exec, system 


Egy visszatérő probléma 

a register globals PHP változó 
használata. Noha már számos ver- 
zió óta ki van kapcsolva alapálla- 
potban (nem véletlenül!), mégis 
számtalan web fejlesztő és alkalma- 
zás követeli, hogy kapcsoljuk be. 
Ahelyett, hogy követnék a PHP 
újabb lehetőségeit, és hozzáigazí- 
tanák a programjaikat. 

Itt nem foglalkozunk azzal, hogy több 
kódoló is létezik, amelyekkel az olvas- 
ható PHP kódból egy - akár titkosí- 
tott — futtatható bytekódot lehet készí- 
teni. Ez amellett, hogy megvédi a PHP 
kódunkat az illetéktelen szemektől, 
azzal az előnnyel is jár, hogy gyorsab- 
ban fog futni a PHP programunk. 
Azonban ez sem csodaszer: a rossz 

és hibás kód ellen ez sem véd meg. 
Ha idáig eljutottunk, adjuk ki root 
felhasználóként a 


chroot /opt/jail apachecti 
s configtest 


parancsot. Ha minden rendben, akkor 
indítsuk el a chroot /opt/jail apachectl 
start utasítással. Gratulálok, elké- 
szült egy relatíve biztonságos web 
kiszolgáló! 


Égy biztonsági modul 

Bár hosszú út áll mögöttünk, 
mégsem merítettük ki az összes 
lehetőséget, amivel a web kiszolgá- 
lónkat biztonságosabbá tehetjük. 
Időről időre bejárja az Internetet 
valamilyen egzotikus nevű féreg 
(worm), amelyet a megfertőzött 
gépek láncreakciószerűen terjesz- 
tenek tovább, hogy más kiszolgálókat 
is megfertőzzenek. 

A modsecurity nevű Apache modul 
2 http://www.modsecurity.org/ se- 
gítségével (amely elérhető az 1.3.x, 
2.0.x és 2.2.x verziókhoz is) azonban 
bizonyos támadásokat megakadá- 
lyozhatunk. A modsecurity modul 
segítségével bizonyos kérésekre 
"hozzáférés megtagadva" (403) vá- 
laszt adhatunk. A modul az időpon- 
ton és a kliens IP-címén túl naplózza 
magát a problémás kérés adatait, 

a modsecurity válaszát és azt is, 
hogy az adott kérés melyik szabá- 
lyon akadt fenn. A javasolt konfigu- 
rációs részlet a 8. Listában látható. 
Az Apache 2.x verziójához 

a modsecurity 2.x változata használ- 
ható, amely jobb reguláris kifejezés 
támogatással és több előre definiált 
szabállyal rendelkezik, mint az 1.x. 
Egy tipikus naplóbejegyzés 

a 9. Listában látható. 


És még mindig nincs vége! 

A téma összetettsége miatt csak 
utalok néhány dologra, amelyek 
nélkül nem képzelhető el biztonsá- 
gos web (tulajdonképpen semmi- 
lyen) kiszolgáló. Az első lépés a fizi- 
kai biztonság megteremtése, csak 

a jogosult személyek férhessenek 

a gép közelébe. A következő lépés 
az operációs rendszer telepítése. 
Fontos, hogy csak azokat a csomago- 
kat telepítsük, amelyekre valóban 
szükségünk lesz. Például fordító 
(gcc, make) biztosan nem kell, inkább 
egy másik gépen fordítsuk le az 
Apache kiszolgálót, ott készítsünk 
belőle csomagot, és azt vigyük át 

a biztonságos kiszolgálónkra. 

Nem lehet eleget hangsúlyozni, 
hogy minden biztonsági frissítést 
azonnal telepíteni kell. Minden 
terjesztés esetén jó, ha megerősítjük 
az operációs rendszert, pl. szigorít- 
juk némely konfigurációs állomány- 
hoz való hozzáférést (például 
/etc/lilo.conf), töröljük a szükségtelen 


binárisokról a setuwid/setgid jogosult- 
ságot (például /bin/mount), eltávo- 
lítjuk a szükségtelen felhasználói fió- 
kokat (például news, uucp, games). 
Ne feledjük az arany szabályt: minél 
kevesebb információt mutatunk 

meg a gépünkről, annak konfigurá- 
férhetnek hozzá, annál kisebb az 
esélye egy betörésnek. 

A gépen az összes felhasználói 
fióknak, és különösen a roof fel- 
használónak erős jelszóval kell 
rendelkeznie. Itt nem bonyolódom 
bele például az egyszer használatos 
jelszavakba (OTP) vagy a biomet- 
rikus azonosítókba. Sokat segíthet 
egy körültekintően kialakított köte- 
lező hozzáférés szabályozó (MAC) 
rendszer is. A fizikai biztonság része 
még az érzékeny adatokat tartalmazó 
mentésekhez való hozzáférés szabá- 
lyozása, jó ha páncélszekrényben 
tartjuk azokat. 

Szintén nem esett szó arról sem, 
hogy hiába egy biztonságosan 
kialakított kiszolgáló, ha a web fej- 
lesztők nem kellő körültekintéssel 
írják meg az alkalmazásaikat. lalál- 
koztam egy olyan kiszolgálóval, 
amelyiken egy sérülékeny verziójú 
pPhpBB fórum futott. Egy kreatív láto- 
gató módosította az alkalmazás kon- 
és egy furcsa dizájnt állított be. 
Magát a gépet ugyan nem törte fel, 
de pont elég kárt okozott azzal, 
hogy megváltoztatta a nyitó oldalt. 
Sokszor nem is szükséges teljes el- 
lenőrzést szerezni a célpont felett, 

az pont elég lehet a vállalkozásunk 
csődjéhez, ha bizalmas üzleti infor- 
mációkat szerez meg a konkurencia. 
Amihez az is elég lehet, ha le tud 
másolni egy adatbázist. 

Bár nem a legújabb LAMP verziókat 
használtam ebben a példában, de ezek 
az elvek a PHP 5.x ill. az Apache 2.x 
verziókkal is használhatóak. Sok sikert 
kívánok minden Olvasónak a saját 
biztonságos kiszolgálójához! 








Személyi tuzfal használata Linux munka- 


állomáson (1. rész) 


Tűzfalak használata Internetes környezetben ma már nélkülözhetetlen feltétele 
a biztonságos kommunikációnak. Ha intézményi hálózatról érjük el a , Net "-et, 
akkor a hálózat üzemeltetője minden bizonnyal megoldja a problémát helyet- 
tünk, kérés nélkül is gondoskodik a biztonságunkról, még ha ez sokszor 

kényelmetlenséget Is okoz. 


tthoni munkaállomás esetén 

azonban nincs mentség, 

a biztonságos környezetet 
magunknak kell felépíteni. Első és leg- 
kézenfekvőbb intézkedés a magára 
a munkaállomásra telepített személyi 
tűzfal használata. Ha abban a kiváltsá- 
gos helyzetben vagyunk, hogy otthoni 
gépünkön Linux operációs rendszert 
használhatunk, akkor a tűzfalért nem 
is kell messzire menni, be van építve 
a rendszermagba. 

A cikk célja tehát ennek megfelelően: 


e A tűzfalak fajtáinak rövid ismer- 


tetése 
e A netfilter működésének bemu- 
tatása 


e Az iptables használatának alap- 
szintű, de részletes ismertetése 
sok példán keresztül 

e — Egyszerű otthoni tűzfal konfi- 
guráció bemutatása 


Amint az zsenge ifjúkorunk óta vala- 
mennyiünk számára jól ismert, tehe- 
nekből három félét különböztet meg 
a tudomány, nevezetesen feketét, fe- 
héret és tarkát (lásd még Egyszer volt 
egy Mehemed). Így a tűzfaltechnikában 
kevéssé jártas olvasót sem érheti meg- 
lepetésként a tény, hogy tűzfal típus- 
ból is többfélét találhat. Mielőtt azon- 
ban az rövid bemutatásukra rátér- 
nénk, egyáltalán mik azok a tűzfalak? 
A tűzfal olyan eszköz, mely az egy- 
mással kommunikáló végpontok (pl. 


felhasználói munkaállomás és távoli 
webszerver) között helyezkedik el, s 
bizonyos előre beállított szabályoknak 
megfelelően engedélyezi (átengedi) 
vagy tiltja (megszakítja) a forgalmat. 
A hálózati kommunikáció legkisebb 
egységei az adatcsomagok (IP csoma- 
gok), melyek fejrésze tartalmazza 

a csomag kézbesítéséhez, kezeléséhez 
szükséges kísérő információkat (pél- 
dául forrás cím, cél cím, portok, proto- 
kollok azonosítót, stb.), az adatmező 
rész pedig a ténylegesen átvinni kí- 
vánt felhasználói adatokat szállítja. 
Az összetartozó adatcsomagok össze- 
függő adatfolyamot, kommunikációs 
csatornát alakítanak ki. 

A legegyszerűbb tűzfal, az úgyneve- 
zett csomagszűrő, mely adatcsomag 
szinten foglalkozik a rajta keresztül 
áramló információval, nem vizsgálja, 
hogy a csomag milyen kommunikáció 
(például TCP kapcsolat) része. A cso- 
magszűrő tehát minden adatcsomag 
sorsáról külön hoz döntést, a megelő- 
ző forgalomtól függetlenül. Ennek 
megfelelően a szűrési szabályok is 
csak az aktuális csomag fejrészéből ki- 
olvasható információkra hivatkozhat- 
nak. Megadhatjuk például hogy mely 
IP címekre/címekről engedélyezzük 

a csomagok továbbítását, milyen pro- 
tokollt engedünk át, illetve milyen 
portok elérését tesszük lehetővé a tűz- 
fal két oldalán, stb. A csomagszűrő 
tűzfalak csak nagyon egyszerű elvá- 
lasztást képesek megvalósítani, haté- 
kony védelemre nem alkalmasak. 


Fejlettebb megoldás jelentenek az 
úgynevezett állapotfigyelő tűzfalak 
(vagy állapotfigyelő csomagszűrők). 
Ezek jórészt szintén csak a csomagok 
fejrészében található információkat 
vizsgálják, viszont nyilvántartják, 
hogy az aktuális csomag melyik élő 
kommunikációs kapcsolat (például 
TCP csatorna, ICMP üzenetváltás, 
DNS lekérdezés, stb.) része, s amikor 
a csomag sorsáról döntenek (továbbít- 
ják/eldobják), a csomag kapcsolaton 
belüli szerepét is képesek figyelembe 
venni. Állapotfigyelő tűzfallal pl. 
megvalósítható az alábbi szűrési felté- 
tel is, mely egyszerű csomagszűrővel 
nem megoldható: 


e . Kimenő ping (icmp-echo-reguest) 
engedélyezése (kiengedése) 
tetszőleges külső IP cím (hálózati 
eszköz) felé 

e A kérésre érkező , válasz ping" 
(icmp-echo-reply) beengedése 


A wálasz ping"-et tehát csak akkor 
engedi át a tűzfal ha előtte kiment egy 
kérés csomag, s a választ csak arról 

a külső címről fogadja el, melyre az 
eredeti ping-et küldték. A beérkező 
csomag sorsát tehát a csomagnak 

a tűzfal által nyilvántartott nyitott 
kommunikációs kapcsolatokhoz való 
viszonya is befolyásolja. (Ping küldés- 
kor a tűzfal ,megjegyzi", hogy erre 
választ várunk, s azt is, hogy a válasz- 
nak honnan kell érkeznie. A válasz be- 
érkezésekor a ,megjegyzést" törli, így 
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ha ugyanarról a külső címről egy 
újabb, kérés nélküli válasz 
ping"érkezik, az már nem jut át.) 
Állapotfigyelő tűzfalak szűrési szabá- 
lyainak megadásakor tehát a normál 
fejrész információkon kívül a csomag 
kommunikációs kapcsolaton belüli 
szerepére is hivatkozhatunk. 

A példában említett ping esete ugyan 
talán a legegyszerűbb kommunikációs 
kapcsolat, de bonyolultabb (például 
TCP) csatornák esetén is érvényesül 
ugyanez az elv. 

A hálózati forgalom feletti legmaga- 
sabb szintű kontrollt az ún. alkalmazá- 
si réteg szintű tűzfalak valósítják meg. 
Ezek már belelátnak a csomagok adat- 
mezőibe is, s az ott szállított informá- 
ciókat összefüggő adatfolyamnak 
tekintve alkalmazásszintű szűrést is 
végezhetnek. Blokkolhatják a rosszin- 
dulatú tartalmakat szállító web kap- 
csolatokat, a veszélyesnek ítélt email 
adatátvitelt, azonnali üzenetküldő 
csatornákból kiiktathatják a fájl továb- 
bítást, stb. A legmagasabb szintű 
kontroll azonban nyilvánvaló módon 
a legnagyobb bonyolultsággal is 
együtt jár mind a működés, mind 

a konfiguráció szintjén. 

Az intézményi tűzfalak rendszerint 
különálló gépen helyezkednek el, s az 
intézmény belső hálózatát választják 
el a külső, nem biztonságos hálózattól 
(például az internettől). A személyi 
tűzfalak ezzel szemben általában egy- 
egy munkaállomást védenek, s magá- 
ra a védendő munkaállomásra telepít- 
jük őket. Az alábbiakban megvizsgál- 
juk, hogyan alakítható ki egyszerű 
személyi tűzfal megoldás a Linux 
kernel beépített tűzfal funkcionalitásá- 
ra támaszkodva. 

A megvalósítani kívánt védelem lé- 
nyege tehát a következő: Saját linuxos 
munkaállomásunkon felélesztjük 

a beépített tűzfal szolgáltatást és azt 

a munkaállomás védelmére alkalmas 
szűrési szabályokkal látjuk el. 


Amint arról korábban már szó esett, 

a Linux kernel beépített tűzfal funkci- 
óval rendelkezik, melynek fontosabb 
jellemzői az alábbiak: 


e A beépített tűzfal működhet 


egyszerű csomagszűrőként vagy 
állapotfigyelő tűzfalként. A két 
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üzemmód nem lehet egyszerre 
aktív, a kernel fordításánál kell 
eldöntenünk, melyik megoldást 
választjuk. (Aki nem maga fordítja 
a kernelt, az ma már minden bi- 
zonnyal az állapotfigyelő funkciót 
találja a készen kapott bináris 
rendszermagban.) 

e A kernel szintű csomagszűrő funk- 
ciót netfilternek nevezik, mely 
közvetlenül vagy modulként is 
belefordítható a kernelbe. 

e A netfilter támogatja a NAT-ot és 
a MAC alapú címzést is. (Ha valaki 
nem tudja, mit jelentenek ezek 
a rövidítések, beleértve az előző 
pontban említett , modulként való 
fordítás" lehetőségét is, semmi 
gond, a cikket azért még érdemes 
tovább olvasni.) 

e Az állapotfigyelő csomagszűrés- 
hez legalább 2.4-es kernelre 
van szükség. 

e A kernel szintű csomagszűrés 
konfigurálása (vagyis a tűzfal 
szűrési szabályainak kijelölése) 
két felületen, az ipchains-en vagy 
az iptables-en keresztül történhet. 
Az ipchains-en az állapot függet- 
len, az iptables-en az állapotfüggő 
funkciók konfigurációja végezhe- 
tő. Ha a kernel fordításakor az álla- 
potfüggő tűzfal megoldás beépíté- 
se mellett döntöttünk, akkor érte- 
lemszerűen a szabályok kijelölésé- 
hez az iptables alkalmazást kell 
használnunk. 


A továbbiakban feltételezzük, hogy 

a kernel tartalmazza az állapotfüggő 
tűzfal funkcionalitást (ami a készen 
kapott rendszermagok esetében általá- 
nos) és a konfigurálásához az iptables 
programot használjuk. 


A kernel a hálózatról érkezett vagy 
oda kilépni szándékozó csomagokat 
a netfilter feldolgozási láncaiba irá- 
nyítja. A legfontosabb feldolgozási 
láncok a következők: 1. táblázat. 
Vannak még más előre definiált lán- 
cok is, és mi magunk is hozhatunk 
létre láncokat. A láncok kezelésével 
kapcsolatos fontosabb tudnivalók 

a következőkben foglalhatók össze: 


e Az egyes láncokra szabályokat ad- 
hatunk meg, melyeket a zetfilter 
érvényesít. A szabályok a láncba 
került csomagok tovább engedésé- 
re, eldobására vagy naplózására 
vonatkozhatnak. 

e A szabályok sorrendje fontos. Ami- 

kor a rendszer a soron következő 

csomag sorsáról dönt, megvizsgálja, 
hogy a megadott szabályok közül 
illeszkedik-e valamelyik a csomag- 
ra. A keresést mindig a szabálylista 
elején kezdi, és az első illeszkedő 
szabálynál fejezi be. (Kivéve példá- 
ul a naplózást. Lásd később.) 

A szabály rendszerint egy feltétel- 

ből és egy akcióból áll. Ha a feltétel 

illeszkedik a csomagra, akkor 

a rendszer végrehajtja az akciót, 

például eldobja a csomagot. 

e Ha a csomagra egyik szabály 
sem illeszkedik, akkor a lánc alap- 
értelmezett szabálya lép életbe. 
(Minden láncra vonatkozik egy 
alapértelmezett szabály.) 


Mivel az otthoni munkaállomások 
rendszerint nem végeznek csomag- 
továbbítást, így az alábbiakban csak 
az INPUT és OUTPUT láncok kezelé- 
sével foglalkozunk. 


Annak érdekében, hogy a beépített 
tűzfal működését saját igényeinkhez 
illesszük, a ki és belépni szándékozó 
csomagokra (INPUT és OUTPUT lánc) 
szabályokat kell meghatároznunk. 

A szabályok megadása hagyományos 
módon az iptables paranccsal 
(parancssor programmal) történik. 
Léteznek ugyan különböző grafikus 
felületek is az iptables fölé, melyek 
megkönnyítik a tűzfal szabályok kije- 
lölését, ezek azonban rendszerint a le- 
hetőségeket is szűkítik. Így a további- 
akban csak az iptables parancs 
használatára koncentrálunk. 

Szabály megadásának formátuma 

az iptables paranccsal: 


iptables parancs láncnév sor- 
5 szám feltétel művelet 


Lássuk az egyes paraméterek 
jelentését. 

A parancs az új szabály felvételének 
módja a meglévő szabályok közé. 
Lehetséges értékei: 2. táblázat. 

A láncnév annak a láncnak a megadá- 
sára való, melyre a szabály vonatko- 
zik. Szokásos értékei: 3. táblázat. 

A sorszám annak a szabálynak 

a sorszáma, melyre a művelet vonat- 
kozik. -A (hozzáfűzés) esetén nem 
használjuk. 

A feltétel a kezelni kívánt csomag 
meghatározása. (Vagyis itt kell 
megadnunk, hogy a szabály milyen 
csomagokra vonatozzék.) A fontosabb 
lehetőségek: 4. táblázat. 

A feltételekből természetesen több is 
megadható ugyanabban a parancsban. 
A 1-el a az illeszkedési feltételek általá- 
ban invertálhatók. 

Végezetül a művelet a feltételre 
illeszkedő csomagok kezelési módja. 
(Itt határozzuk meg, hogy a megadott 
feltételre illeszkedő csomaggal ponto- 
san mit is kell csinálni). Megadása: 


-j] kezelési mód 


A kezelési mód lehetséges értékei: 
5. táblázat. 

Az iptables parancs a fenti formájá- 
ban alkalmas arra, hogy jól meghatá- 
rozott csomagokat válasszunk ki az 
átlépni szándékozó üzenetfolyamból 
és rendelkezzünk a kezelésük mód- 
járól. Mi történik viszont azokkal 

a csomagokkal, melyekre a rendszer 


nem talál illeszkedő szabályt? Nos, 
ezek sorsáról a láncok alapértelmezett 
kezelési szabályai döntenek. 


Ha egyik megadott kezelési szabály 
sem illeszkedik az éppen feldolgozásra 
váró csomagra, akkor a csomag sorsát 
az alapértelmezett kezelési mód dönti 
el. Az alapértelmezett kezelési mód 
beállítása a következőképpen történik: 


iptables -P lánc név 
sskezelési mód 


A kezelési mód lehetséges értékei: 
DROP, ACCEPT, REJECT, LOG 


Ennek értelmében (például) a beérke- 
ző csomagok feldolgozása az alábbi 
módon megy végbe: 


1. A csomag megérkezik a hálózatról 

2. A csomagot a kernel az INPUT 
láncba irányítja 

3. A csomag feldolgozásakor 
a netfilter sorszám szerint növekvő 
sorrendben végignézi az INPUT 
láncra megadott szabályokat. Az 
első illeszkedő szabálynál megáll, 
végrehajtja a szabály által kijelölt 
akciót, majd veszi a következő 
csomagot. (Kivétel a LOG kezelési 
mód. Ebben az esetben a tűzfal 
naplózza a csomag megjelenését, 
s folytatja az illeszkedő szabály 
keresését.) 

4. Ha a rendszer az INPUT lánc sza- 
bálylistájában nem talál illeszkedő 
kezelési utasítást, akkor a csomag 
sorsát az INPUT lánc alapértelme- 
zett kezelési módja dönti el. 


Először nézzük meg, mit kell tennünk, 
ha azt szeretnénk elérni, hogy vala- 
mennyi hálózati kommunikáció 
alapértelmezés szerinti tiltva legyen. 


iptables -P INPUT DROP 
iptables -P OUTPUT DROP 
iptables -P FORWARD DROP 


A művelet eredményeként a rendszer 
eldob minden beérkező és távozni 
szándékozó csomagot, hacsak egy 
illeszkedő szabály másként nem 
rendelkezik. Működő tűzfalaknál 
rendszerint ez a beállítás használatos, 
alapértelmezés szerint minden kom- 
munikáció tiltva van, amit mégis 
engedélyezni akarunk, arról (alkalmas 
illeszkedő szabály megadásával) külön 
rendelkezünk. 

A második példában a beérkező cso- 
magokat letiltjuk, a kimenőket azon- 
ban engedélyezzük, vagyis a hálózati 
kommunikáció számára amolyan 
egyirányú utcát alakítunk ki. 


iptables -P INPUT DROP 
iptables -P OUTPUT ACCEPT 
iptables -P FORWARD DROP 


A művelet eredményeként a rend- 
szer eldob minden beérkező csoma- 
got, viszont a csomagok távozását 
engedélyezi. (Minden, a védett gép- 
ről induló csomagot kiengedünk, de 
hogy mely csomagok bejutását enge- 
délyezzük, azt külön határozzuk 
meg, az INPUT láncra megadott 
szabályokkal.) Személyi tűzfalak 
esetén gyakori beállítás. Ilyenkor 

az INPUT láncra olyan csomagok 
átengedését engedélyezzük, melyek 
már egy létező (belülről kezdemé- 
nyezett) kommunikációs kapcsolat 
részeként érkeznek. 


Ezzel a netfilter és az iptables 
működésével, használatával kap- 
csolatos alapismeretek bemutatá- 
sának a végére értünk. A sorozat 
következő részében az itt leírtakat 
a gyakorlatban is alkalmazni fogjuk, 
konkrét célokat szolgáló szűrési 
szabályokat fogunk beállítani, 

és összeállítunk egy egyszerű, 
otthoni munkaállomás védelmét 
szolgáló szabálylistát is. 


Nagy Sándor 
(nasi630gmaill.com) 
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int a legtöbb Linux- 

felhasználó, kezdetben 

magam is egyszerű Bash 
parancsfájlokkal készítettem el a gé- 
pem tűzfalszabályait. Lassan azonban 
belefáradtam, hogy ugyanazokat 
a kódsorokat írom újra és újra, így 
hát elkezdtem ciklusokat használni 
az ismétlések elkerülésére. El akartam 
különíteni magukat a szabályokat is 
a program többi részétől - erre a meg- 
oldás az, hogy a program külső beállí- 
tásfájlokkal dolgozik. Mivel a Perlhez 
lényegesen jobban konyítok, mint 
a Bash-hez, úgy döntöttem, Perlben 
fogom megírni a tűzfalszabályaimat. 
A cikkben bemutatott programot meg 
lehet írni Bash-ben, vagy bármilyen 
parancsnyelven, de akár C-t -H-ban is. 
Nem a nyelv a fontos. A lényeg, hogy 
megírjuk a programot, teszteljük, és 
ezután már nincs más dolgunk, csak 
módosítani a beállításfájl biztonsági 
szabályait és újra lefuttatni a progra- 
mot. A beállításfájlok szerkezete ma- 
gáért beszél, így könnyen olvashatók, 
érthetők, módosíthatók. 
Az 1. Listában látható a Perl szkript. 
A fentről lefelé elvet követtem 
(top-down programming), úgyhogy 
az első néhány sorból már látszik, 
hogy mit csinál a program. Remélhe- 
tőleg nem csak Perl programozók 
számára lesz érthető. 
Látható, egészen rövid program és 
nem is bonyolult. Elég rugalmas azon- 
ban ahhoz, hogy fekete- és fehérlistá- 
kat hozzunk létre egyes gépekből, 
vagy akár egész hálózatokból. Mint 
majd látni fogjuk, abuild chainsO 
és az add rulesO) függvényekben 
alkalmazott szabálykurtító 


1. Lista firewall.pl 


$1/usr/bin/per1l 

$default policy — "DROP"; 
$iptables - "/sbin/iptables"; 
$w ork dir — "/root/fw" ; 

set ip forwarding(0); 

load interfacesO ; 
$protocolsítcpir4; $protocolsífudpbt-4-; $protocolsífíicmpjt-r-; 
IN160)S 

set default policyO; 

add good hostsO; 

add bad hostsO; 

build chainsO ; 

add. rulesŐ : 

set default actionO; 

set ip forwarding(i1) ; 


exit; 
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sub load interfaces ( 


my(C$int, $name); 
local ("FILE); 
open FILE, "$work dir/interfaces.conf" ; 
while (cFILE3) ( 
chomp($. ) ; 
if ($. eg "") ( next; 3 
(C$name, $int) -— split(/ s7e-ts77, $ ): 
$interfacef$namel - $int; 


sub 1nit í 
iptables("-F"); 4 flush rules 
iptables("-t nat -F"); 
iptables("-x"); í delete chains 
iptables("-z"); í zero counters 
iptables("-t nat -A POSTROUTING -j MASOUERADE"); 
iptables("-A INPUT -m conntrack -ctstate ESTABLISHED 
-j ACCEPT"); 
J 
sub set default policy ( 
iptables("-P INPUT $default policy"); 
iptables("-P OUTPUT ACCEPT"); 
iptables("-P FORWARD ACCEPT"); 
return; 





KER AK [oo 4óáWjééidizizWWiWWW;iikAX([4£ - CCA ","/,AG,:,:.:..SSSRRR HON OH 
foreach $protocol (keys protocols) ( 


1. Lista folytatás $chain - "$interface-$protocol"; 
iptables("-A $chain -j LOG 
TT -10g-prefix 
sub DUTTdőchaiás 1 DEFAULT. $default policy-$chain-"); 
my(C$interface, $protocol, $chain); iptables(C"-A $chain 
foreach $interface (keys zinterface) í $default. policy"); 
foreach $protocol (keys Xprotocols) í ii 
$chain - "$interface-$protocol"; 6 
iptables("-N $chain"); T 
iptables("-A INPUT -i sub iotables : 
$interfacefi$interfacej my($line) — a ; 
-p $protocol"-]j $chain ) ; print "$iptables $line 5 /dev/null" if 
i; ($debug) ; 
J $result - system("$iptables $line : 
j /dev/nul1"); 
sub add rules ( if ($result 1- 0) ( 
VocaVC FILE? ; print "X: ($result) iptables $linetn" : 
open FILE, "$work dir/ports.conf"; l 
while (cFILE3) ( h 
chompC$5. ) ; sub set ip forwarding ( 
$. —-- s/$.?//; my($value) — a ; 
d CRS ed EN EXE local (FILE) ; 
CST, $DPOTO. $port) — SDÍTE(7VEZ, $09I print "Setting IP forw arding to $value.m"; 
$1 - $interfaceí$intj; open FILE, "5/proc/sys/net/ipv4/ip. forward" ; 
$chain — "$int-$proto"; print FILE $value; 
if CSProto eg "ally ti close FILE; 
foreach $proto (keys Zprotocols) ( j 
$chain - "$int-$proto"; sub add good hosts ( 
iptables("-A $chain -i $1 -p my($host, $comment); 
$proto -j ACCEPT"); local (FILE) ; 
Í open FILE, "$work dir/good hosts. conf"; 
next; while (cFILE:) í( 
J ($host, $comment) - split(/tvt/, $.0); 
if C$proto eg "udp ) í iptables("-A INPUT -s $host -j ACCEPT"); 
iptables( -A $chain -i $1 -p udp iptables("-A OUTPUT -d $host -j 
-dport 3port ACCÉPT 
-j ACCEPT"); l 
iptables("-A $chain -i $i -p udp j 
"Sport $port sub add bad hosts ( 
SAACCERE a myC$host, $comment); 
J local ("FILE); 
1 CC $proto eg "tcp ) A open FILE, "$work dir/bad. hosts. conf"; 
iptables("-A $chain -i $i -p tcp while (cFILE35) (í 
-dport $port -syn chomp($.) ; 
- JJ -ACGEBIT ($host, $comment) - split(/Mt/, $.); 
iptablesC A $chaim d 31 pp tcp iptables("-A INPUT -s $host -j LOG 
-dport $port -10g9g-prefix $comment"); 
-j ACCEPT"); iptables( SA OUurPUT d $host c] LOG 
J -1og-prefix $comment"); 
§ iptables("-A INPUT -s $host -j DROP"); 
ő iptables("-A OUTPUT -d $host -j DROP"); 
sub set default action ( 1; 


my($interface, $protocol, $chain); 
foreach $interface (keys sinterface) ( 


(rule-pruning) algoritmusnak kö- elvárható, megmondja a rendszer- A szkript a tűzfalszabályok betöl- 
szönhetően a Linux rendszermagnak magnak, hogy továbbítson, vagy ép- tésekor letiltja a továbbítást, majd 
nem kell a lényegtelen szabályokkal pen ne továbbítson IP csomagokat. futásának befejezte előtt újra enge- 
foglalkoznia. A függvény egyetlen paramétert fo- délyezi azt. EF plusz lépések célja, 


A set ip. forw hardingO függvény gad, 0 vagy 1 értékkel attól függően, hogy az útválasztónk biztonságos 
azt csinálja, ami a neve alapján hogy akarunk-e IP továbbítást. állapotban legyen a szabályok 








betöltésekor. Jobb minden forgalmat 
blokkolni, mint egyetlen támadást 
beengedni. 

A load interfacesO) függvény beol- 
vassa a hálózati eszközök neveit, majd 
könnyen megjegyezhető címkéket 
kapcsol hozzájuk. A további beállítá- 
sok során már ezekkel a címkékkel hi- 
vatkozunk az eszközökre. Az olyan el- 
nevezések, mint a lan (helyi hálózat), 
vagy a vpn. to. whork (munkahelyi 
VPN) csökkentik a hibalehetőségek 
számát, de így könnyebben is módo- 
síthatjuk a tűzfalat, hogy azt máshol 
mások is használhassák. Gyakran csak 
az interfaces.conf fájlt kell módosíta- 
nom az adott hálózatnak megfelelően 
és máris egy jól használható tűzfalat 
nyújthatok át egy barátomnak. 

A szkript négy beállításfájlt használ: 
interfaces.conf, good hosts.conf, 

bad hosts.conf és ports.conf. 

A 2. Listában látható az interfaces.conf 
fájlom. Látható, hogy az útválasztóm- 
ban hat hálózati eszköz van. 

Az internetkapcsolat az eth5. A házon 
belüli hálózatot 10/100TX Ethernet köti 
össze. Egy MythIV PVR Gigabites 
Ethernettel kapcsolódik az útválasztó- 
hoz fájltárolás céljából. Van még egy 
csatoló Wi-Fihez és VoIP-hoz, továbbá 
egy VPN kapcsolat néhány barátom 
számítógépéhez. Könnyebb megje- 
gyezni, hogy a lan nevű eszköz 

a 10/100-as rézszálas hálózat, mint azt, 
hogy eth3 a VolP, vagy a Wi-Fi csato- 
ló. Azt pedig a legkevésbé sem akar- 
juk, hogy valamelyik csatoló nem 

a neki készített szabályokat kapja. 

Az initO függvény végzi az iptables 
beállításnak első lépéseit. Először ki- 
ürítjük (flush) vagy töröljük az összes 
szabályt és felhasználói láncot. Aztán 
lenullázzuk a számlálókat. Később 
ezekből tudhatjuk meg, hogy az egyes 
tűzfalszabályaink hány csomagot kap- 
tak el. Ezután beállítjuk a címálcázást 
(IP masguerading). Az olyan forgal- 
mat, amely egy létező kapcsolathoz 
tartozik, további ellenőrzés nélkül 
átengedjük a tűzfalon. Így nem kell 
minden csomagnak végigjárnia az 
összes szabályt, elég, ha csak az új 
kapcsolatokat vizsgáljuk. 

A set default policyO megadja, 
hogy mi legyen az egyetlen szabályra 
sem illeszkedő csomagok sorsa. Ez 
esetben csak a bejövő forgalommal fog- 
lalkozunk, a házirend elfogad minden 
kimenő és továbbítandó csomagot, 


de kisebb módosítással minden irány- 
hoz megadhatunk házirendet (policy). 
Az alapértelmezett házirend alapján 

a szkriptünk eldobja a csomagokat, te- 
hát az adminisztrátornak külön ki kell 
jelölnie az engedélyezett forgalmat. 

Ez a legbiztonságosabb megoldás, 

és lényegesen jobb annál, mintha 
mindent átengednénk és csak az ártó 
szándékú forgalmat blokkolnánk. Előre 
úgysem tudhatjuk, mi az ártó, így 

a legjobb mindent tiltani és csak azt 
engedélyezni, ami tényleg szükséges. 
Az add good hostsO 

a good hosts.conf fájlban megadott 
gépekből és hálózatokból hoz létre 
szabályokat, melyek minden forgal- 
mat engedélyeznek. Ezek a szabályok 
nem hálózati eszközhöz kötődnek. 

A fehérlistán levő gépekről és hálóza- 
tokból minden csatolón minden adat- 
forgalmat beengedünk. Ezen a listán 
általában szerepel az otthoni gépem 
és a munkahelyi hálózat, így ha vala- 
mi valami hibát vétek a beállítás köz- 
ben, akkor sem zárom ki magam az 
útválasztó gépről, tehát otthonról 

és a munkahelyemről is javíthatom 

a hibát. Persze alapfeltétel, hogy mind 
az otthoni gép, mind a munkahelyi 
hálózat biztonságos legyen, és lehető- 
leg ez a lista se legyen hosszú. 

Az add bad host) által létrehozott 
szabályok blokkolnak minden forgal- 
mat a bad hosts.conf fájlban megadott 
gépek és hálózatok felől. Ez a függ- 
vény majdnem ugyanúgy működik, 
mint az add good hosts 0), egyetlen 
fontos kivétellel. A feketelistán levő 
helyekről érkező csomagokat az útvá- 
lasztó naplózza, a bejegyzéshez pedig 
egy megjegyzést is fűz úgy, ahogy azt 
a bad hosts.conf fájlban előre megad- 
tuk. Így elég csak belepillantani a nap- 
lóba és rögtön látjuk, melyik csomag 
miért lett eldobva. Hasznos fejlesztés 
lenne, ha az add bad hostsO függ- 
vény külön láncba tenné a feketelista 
szabályokat, a láncot pedig egy korai 
szakaszban hívná meg. Így akár egy 
külső programból is kényelmesen tö- 
rölhetnénk, vagy adhatnánk címeket 
ehhez a lánchoz, esetleg éppen a nap- 
lóbejegyzések függvényében. 

A build chainsO tűzfalszabály lán- 
cokat hoz létre. Minden hálózati esz- 
köz és protokoll-kombinációhoz külön 
láncot építünk. Például egy linuxos 
útválasztón négy eszközzel - etho, 
eth1, eth2, eth3 - a következő lánca- 








ink lennének: eth0-tcp, eth0-udp, 
eth1-tcp, eth1-udp és így tovább. 
Aztán létrehozzuk a szabályokat, 
amelyek a megfelelő lánchoz küldik 

a csomagokat. EFredményül egy faszer- 
kezetet kapunk amely meghatározza 
az útválasztóra érkező hálózati csoma- 
gok útvonalát. Ellentétben egy lineáris 
tűzfalszabály listával, a rendszermag- 
nak itt nem kell nyilvánvalóan lényeg- 
telen szabályokkal foglalkoznia. Nem 
fogunk tehát ellenőrizni a WAN csato- 
lón bejövő ICP csomagokat a Wi-Fi 
csatoló UDP csomagjaira vonatkozó 
szabályok alapján. 

Nem vizsgáltam még meg, hogy ez 

a szabály-visszametsző eljárás ered- 
ményez-e számottevő teljesítménynö- 
vekedést. Nem kerül azonban semmi- 
be ennek a döntési fának a létrehozá- 
sa, tehát ha a teljesítményt nem is 
növeli jelentősen, nem is igényel több 
programozói munkát, tehát összessé- 
gében mégiscsak megéri. 

A munka oroszlánrésze az 

add rules) függvényben történik, 
amely beolvassa az 5. Listában látha- 
tó ports.conf fájl tartalmát. 








Mielőtt részletesebben megvizsgál- 
nánk az add rules 0) függvényt, 
lássuk a ports.conf fájlt. 

A ports.conf minden szabályhoz tar- 
talmaz egy sort. Minden sor három 
oszlopból és egy választható meg- 
jegyzésből áll, amelyet 77 karakter 
előz meg. Az első annak a hálózati 
eszköznek a neve, azaz címkéje, 
amelyre a szabály vonatkozik. A má- 
sodik oszlop a protokoll: tcp, udp, 
vagy mindegyik, azaz al 1. Utóbbi 
esetben olyan szabályt kapunk, 
amely minden csomagot beenged 

a kérdéses csatolón. Az harmadik 
oszlop a kapuszám, vagyis a port. 
Az első sor például egy olyan 


szabályt hoz létre, amely beengedi 
az SSH forgalmat a wan hálózati 
csatolón. 

Látható, hogy van egy szabály, amely 
engedélyezi a lo - loopback, azaz 
visszacsatoló hálózati eszközön az adat- 
forgalmat. Enélkül sok program nehe- 
zen felderíthető hibákat produkálna. 
Felvetődhet a kérdés, hogy miért van 
szükség ennyi szabályra a LAN eszkö- 
zön, hogy aztán a végén egy al 1-lal 
minden csomagot beengedjünk. A fő 
ok, hogy amíg a gyerekek fel nem 
nőnek és el nem kezdik használni az 
internetet, az otthoni hálózatot bizton- 
ságosnak tarthatom. Ha azonban min- 
den szolgáltatáshoz külön szabályt ké- 
szítek, remek statisztikát kapok arról, 
hogy melyik szolgáltatás mennyi for- 
galmat generált. No meg a biztonság 
biztosítása folyamatos munka. Időről 
időre újabb szabályokat adok a tűzfa- 
lam szigorításához, aztán előbb utóbb 
az az all is eltűnik majd a házirendből. 
Térjünk vissza az add rules) függ- 
vényre. Ez a program leghosszabb 
függvénye, de azért még könnyen ért- 
hető. A kód tcp és udp szabályokkal 
foglalkozó része egyszerűen csak két 
szabályt készít a ports.conf fájl minden 
szabálya alapján. Egyik a cél-, a másik 
a forráskapuhoz kapcsolódik. Ez első- 
re furcsának tűnhet, mivel csak a bejö- 
vő forgalommal foglalkozunk. Igazá- 
ból azonban így biztosítjuk, hogy 
mind a bejövő, mind a kimenő kap- 
csolat engedélyezve legyen. Például 
egy a WAN eszköz 8380-as kapujára ér- 
kező kapcsolat a saját web kiszolgáló- 
mat célozza meg, míg ugyanezen az 
eszközön a 80-as kapuról érkező adat 
egy külső kiszolgáló válasza egy, a bel- 
ső hálózatról érkező kérésre. 

Az all szabályokat kezelő kód speciá- 
lis eset. Itt minden protokollra külön 
szabályt alkotunk az adott hálózati 
eszközön. lalán túl bonyolultnak tűn- 
ket, de van egy érdekes mellékhatása. 
Ha az útválasztó ismeretlen protokol- 
lú csomagot kap, mint mondjuk az 
IPSec, az alapértelmezett házirendet 
fogja alkalmazni, még akkor is, ha az 
azt jelenti, hogy engedjen át minden 
adatforgalmat. A ,minden protokoll" 
tehát ,minden ismert protokoll" -t 
jelent, és szerintem ez jó. 

A szkript nagyjából olyan sorrendben 
adja át a szabályokat a rendszermag- 
nak, ahogy a ports.cont fájlban szere- 
pelnek. Mondom csak nagyjából, 


mivel a szabályok a hálózati eszköz 

és protokoll alapján meghatározott 
láncba kerülnek. A szabályon belül 
azonban nem változik a sorrend. 

A set default action() függvény 
meghatározza, hogy mi történjen 
azokkal a csomagokkal, amelyekre 
egyetlen korábbi szabály sem illesz- 
kedik. Ez hasonlónak tűnhet 

a set default policyO-hez, 

de van egy apró különbség. 

A set default policyO az alapér- 
telmezett tűzfal házirendet állítja be, 

a set default actionO tűzfalsza- 
bályokat hoz létre, amelyek elkapják 
a korábban el nem kapott csomagokat, 
lezárva az egyes láncokat, azelőtt, 
hogy a rendszermag az alapértelme- 
zett házirendet alkalmazná. 

Ha egy megfelel egy ilyen szabálynak, 
létrejön egy napló bejegyzés, majd 
életbe lép a megadott házirend, ez 
esetben a DROP. A naplóból később 
megállapítható, hogy milyen csomag 
és miért lett eldobva. 

Nem mondom, hogy ez a program tö- 
kéletes és azt sem, hogy minden elkép- 
zelhető feladatot képes ellátni. Még 
akár hibák is lehetnek benne. Mire ez 
a cikk megjelenik bizonyára további 
fejlesztéseket végzek a szkripten. 
Látható, hogy jelenleg még egyáltalán 
nem kezeli az ICMP protokollt, pedig 
jó lenne például engedélyezni a kime- 
nő ping kéréseket, de tiltani a bejövő- 
ket. Jó lenne szabályozni a kimenő és 

a továbbított forgalmat is. Mivel hasz- 
nálok VolP-ot, gondoltam már arra, 
hogy a szkript beállíthatná a szolgálta- 
tásminőséget (Ouality of Service - 005) 
is. Aki kiegészíti hasznos funkciókkal 

a programot, kérem értesítsen. 

Most olyan, amilyen. Kevesebb, mint 
200 sornyi Perl kód, mégis rugalmasan 
és hatékonyan kezeli akár tűzfalszabá- 
lyok százait, a szabályok módosítása 
pedig olyan egyszerű, hogy még az 
egészen kezdő Linux-felhasználóknak 
sem okozhat gondot. 
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ikkemben megpróbálom 
C a teljesség igénye nélkül, 

de a lehetőségek legszélesebb 
skáláját érintve bemutatni az nmap 
(Network Mapper) programot, vagyis 
egy olyan népszerű és sokat próbált 
hálózati eszközt, melynek rendszeres 
és szakszerű használatával jelentősen 
növelhetjük hálózatba kötött számító- 
gépeink biztonságát. 
Egyesek szerint a rendszergazdákkal 
szemben a hackerek egyik legnagyobb 
előnye az, hogy ők 24 órában tevé- 
kenykednek, s így mindig lépéselőny- 
ben vannak. Ezen lépéselőny leküzdé- 
sére a rendszergazdák a hackerek 
által használt eszközöket vetik be saját 
hálózataik ellen, hogy kiderítsék, 
milyen sebezhetőségre lelhet rá egy 
betolakodó, amíg ők otthon éppen 
a legédesebb álmukat alusszák. 
Ehhez a rendszerellenőrzéshez jelen- 
leg az egyik legalkalmasabb eszköz az 
nmap pásztázó (portscanner), ami el- 
lenőrzi, hogy egy adott számítógépen 
mely portok vannak nyitva, azokon 
milyen, és hányas verziószámú szol- 
gáltatások üzemelnek, valamint 
milyen operációs rendszer fut rajta. 
Ezek alapján talán már érthető, 
miért elengedhetetlen az ismerete. 


Mik azok a portok? 

Mielőtt elmélyülnénk a program adta 
lehetőségekben, tegyünk egy rövid 
hálózatelméleti kitekintést. A portok 
vagy kapuk lehetővé teszik, hogy egy 
adott IP címmel rendelkező számító- 
gépen egyszerre több különböző szol- 
gáltatást is el lehessen érni. Minden 
démon és program, ami hálózati kap- 
csolatokat használ, legyen az TCP 
vagy UDP kapcsolat, portokon keresz- 
tül kommunikál a hálózaton. A kapu- 
számok 1-től 65536-ig terjednek. Ezen 
belül három csoportot lehet megkü- 
lönböztetni, az 1-1023-ig terjedő ún. 


rendszerkapukat, ahol csak rendszer- 
gazdai jogosultságú folyamatok mű- 
ködhetnek, az 1024-49151-ig terjedő 
skálát, ami a nem rendszergazdai 
jogokkal bíró folyamatok kapuit tartal- 
mazza, és az ezen felüli ún. magánka- 
pukat, amiken azok a szolgáltatások 
futnak, melyek nem kapcsolódnak 

az internethez. A ICP és az UDP 
protokollhoz külön-külön 65536 

port érhető el, így előfordulhat, hogy 
ugyanazon a számú kapun szolgáltat 
egy ICP és egy UDP folyamat. 

Szót kell még ejteni a hivatalos port- 
hozzárendelésekről, melyeket Linux 
rendszereken a /etc/services állomány 
tartalmaz. A lényege, hogy egy adott 
számú ICP vagy UDP kapun minden 
rendszeren ugyanaz a szolgáltatás fut. 
Például a 23-as TCP porton a telnet 
szolgáltatás érhető el. Ami miatt ez 
nem egy szabvány, az az, hogy egy 
szolgáltatást könnyen áthelyezhetünk 
egy másik kapura. Ezért ha azt látjuk, 
hogy egy számítógépen nyitott a 23-as 
kapu, azaz lehet rá csatlakozni, még 
nem biztos, csak valószínű, hogy 

azt egy telnet démon használja. 

A számítógép egy másikhoz történő 
kapcsolódásakor forrás- és célkapukat 
használ. A célkapu az előbb említett 
némileg szabványos port-hozzárende- 
lések közül az egyik, amin egy szol- 
gáltatást szeretnénk elérni. A forráska- 
pu - ahonnan a kapcsolatot kezdemé- 
nyezzük - sorszáma előre nem meg- 
határozott, alkalmazásfüggő, amit 

a rendszer dinamikusan oszt ki. 


Mit jelent a kapupásztázás? 

A kapupásztázás leegyszerűsítve 
annyit tesz, hogy megpróbálunk 

a célgép minden egyes portjára 
csatlakozni. Ha sikerrel járunk, el- 
könyvelhetjük, hogy a port nyitott, 
sikertelen csatlakozás esetén pedig 
azt, hogy a vizsgált kapu zárva van. 





Legegyszerűbb példa erre ICP portok 
estében a telnet program, amivel min- 
den egyes portra csatlakozva ellen- 
őrizhetjük, fut-e azon valamilyen 
szolgáltatás. Beláthatjuk, hogy ez 
nem egy kényelmes és fejlett módja 

a felderítésnek. 

Itt jön a képbe Fjodor és az általa írt 
nmap 5 http:/insecure.org/nmap/ 
pásztázó. Az nmap három különbö- 
ző fázisban gyűjt információt 

a célrendszerről: 


e — Kiszolgáló felderítése (host scan): 
A hálózatban elérhető számítógé- 
pek felderítése. 

e . Kapupásztázás (port scan): Egy 
adott számítógépen futó szolgálta- 
tások és azok verzióinak felderítése. 

e . Operációs rendszer ujjlenyomat 
általi azonosítása (OS scan): Egy 
adott számítógépen futó operációs 
rendszer felderítése. 


Az nmap beszerzése és telepítése 
Az nmap népszerűségének köszön- 
hetően minden Linux terjesztésnek 
a részét képezi. Ezenkívül elérhető 
még Windows, Free/Open/NetbBSD, 
MacOS X, Solaris, Amiga és HP-UX 
rendszerekre is. Linux alatt 

a legegyszerűbben az általunk 
használt disztribúció csomagkezelő- 
jével telepíthetjük. Ha a legfrissebb 
stabil változatot szeretnénk használ- 
ni, töltsük le a forrást 

a 5 http:/insecure.org/nmap/ 
download.htmil oldalról, majd 

a kicsomagolás után a forráskód 
könyvtárába lépve a 


. /configure 
make 

su root 
make install 


parancsokkal telepítjük. 





A grafikus felület kedvelőire gondolva 
az nmap rendelkezik grafikus kezelő- 


felülettel is, de mivel ez nem tartalmaz 


annyi lehetőséget és nem olyan fino- 
man hangolható, mint parancssorból, 
ezért itt csak megemlítjük a létezését. 
Az nmap nem rendelkezik konfigurá- 
ciós fájllal, minden opciót parancssori 
kapcsolók segítségével adhatunk meg. 
Mivel a program nagyrészt nyers cso- 
magokat küld a hálózatra, futtatásá- 
hoz több esetben rendszergazdai 
hozzáférésre lesz szükségünk. Most 
pedig a három fő pásztázási fázist 
áttekintve ismerkedjünk meg a prog- 
ramban rejlő lehetőségekkel. 
Pataméterezésének az alaplogikája 

a következő: 


nmap [lPásztázás típusa(1)] 
3 [Kapcsolók] fcélgépCek)3 


Célgépek meghatározása 

Mindenek előtt azt kell tudnunk, 
hogyan adhatjuk át az nmap számára 
a pásztázni kívánt gépek neveit. 
Mindez történhet egyszerű felsorolás- 
sal, vagy egy már előre elkészített lista 
beolvasásával. Az nmap nagyon rugal- 
masan kezeli a célgépek IP címeit. 

A 10.200.21.8, 10.200.21-23.8, 
10.200.21.0/24, 10.200.21.1,2,3,4,21,54 
mind elfogadott formátum. 


e -iL clista.txts: A listában fel- 
sorolt számítógépek ellenőrzése 

e -iR cszáms: cszám: darabnyi vé- 
letlen IP címet generál, és azokat 
pásztázza végig. Akkor hasznos, 
ha az interneten olyan számítógé- 
peket keresünk, amelyeken nyitva 
van egy adott port. Ha a szám 
értéke nulla, végtelen számú IP cí- 
met generál. A multicast és belső 
hálózati IP címek automatikusan 
át lesznek ugorva. 

e --exclude cipcími, ipcím25: 
Ide jönnek vesszővel elválasztva 
azoknak a gépeknek az IP címei, 
amiket ki akarunk hagyni a tarto- 
mány vizsgálatakor. Ez akkor 
hasznos, ha egy teljes hálózatot 
ellenőrzünk, de néhány gépre 
vagy alhálózatra nem mi fel- 
ügyelünk. 

e --excludefile ckihagy.txts: 
Ugyanaz, mint az előző, csak 
egy fájlban szerepel az ellenőr- 
zésből kihagyni kívánt számító- 
gépek listája. 


Kiszolgáló felderítése 

e  -sP (Ping scan): Végigpingeli 
azoknak a számítógépeknek 
a listáját, amit megadunk neki, 
ezáltal kideríthető, melyek 
a hálózaton aktuálisan elérhető 
gépek. 

e  -PO(P nulla): A kapupásztázást 
nem előzi meg az aktivitást 
ellenőrző ping. Akkor hasznos, 
ha tudjuk, hogy a célszámítógép 
üzemel, illetve ha az úgy van 
,tanítva", hogy ne válaszoljon 
a ping-re. Az nmap ezzel 
a kapcsolóval minden eset- 
ben megpróbálja pásztázni 
az adott gépet. 

e -PS cportlistasz (ICPSYN 
Ping): SYN jelzőbittel ellátott 
csomagot küld a gép adott 
portjára. Ez a port alapértel- 
mezetten a 80-as port, de 
a Cportlistában- megadható, 
hogy mely portokra küldje 
ezeket a csomagokat. Ha RSI 
csomag érkezik vissza, zárva 
van a port, ha SYN/ACK csomag, 
akkor nyitva. 

e -PA cportlistas (ICPACK 
Ping): ACK jelzőbites csomagok 
használata a pásztázáskor. Műkö- e 
dése megegyezik a SYN Pingével. 
Érdemes mind a kettőt használni, 
mert sokszor a SYN csomagokat 
eldobják a tűzfalak. 

e -PU cportlista: (UDP Ping): 

Üres UDP csomagot küld a 31338- e 
es portra, ezzel ellenőrizve a gép 
állapotát. 

e  -PR (ARP Ping): Ethernet hálóza- 
tok ellenőrzésekor ez a javasolt 
eljárás. Olyannyira, hogy az 
nmap automatikusan erre vált 
át, ha azt érzékeli, ha helyi e 
hálózaton pásztázunk működő 
gépek után. 


Kapupásztázási technikák 
Az nmap a portok állapotát 6 külön- 
féle csoportba sorolja. e 


e . Nyitott (open): Valamilyen TCP 
vagy UDP protokollt használó 
szolgáltatás fut az adott porton. 

A hackerek számára ez jelenti 

a főnyereményt, hiszen minden 
nyitott port egy potenciális 
támadási lehetőség. 

e — Zárt (closed): Elérhető, de nem fut 
rajta semmilyen szolgáltatás. 





Szűrt (filtered): Az nmap nem 
tudja eldönteni, hogy az adott 
port nyitva van-e, ugyanis vala- 
milyen csomagszűrési eljárás 
megakadályozza, hogy elérje 

a kaput. 

Nem szűrt (unfiltered): A port 
elérhető, de az "map nem tudja 
eldönteni, hogy nyitva van-e vagy 
sem. Csak a tűzfalszabályok felfe- 
dezésére használatos ACK pásztá- 
zás sorolja ebbe a csoportba 

a portokat. 

Nyitott] Szúrt (open I filtered) : 
nem lehet eldönteni, h a port 
nyitva van, vagy szűrt. Az UDDP, 
IP protokoll, FIN, Null, és Xmas 
pásztázás sorolja ebbe a csoportba 
a kapukat. 

Zárt] Szűrt (closed Ifiltered): 

Nem eldönthető, hogy a port zárt 
vagy szűrt. Az Idle pásztázás által 
használt jelölés. 


e -sS (ICP SYN scan): Az alapér- 
telmezett pásztázási eljárás, 
ami SYN csomagokat használ. 
Gyors és pontos. A SYN pásztá- 
zás nem fejezi be a háromlépé- 
ses TCP kézfogást. 





A második lépés, a SYN/ACK 
csomag után RST csomaggal 
zárja a kapcsolatot. 

-sT (ICP Connect() scan): 

Az alapértelmezett pásztázási 


hibaüzenettel válaszolnak, így 
ezek a szűrt (filtered) csoportba 
sorolódnak. 

- sw (TCP Window scan): Hason- 
ló, mint az ACK pásztázás, azzal 


Z. Lista: FIN; DP és RCP pászta- 


zás portszűkítéssel 


csabaGlcs:-$ sudo nmap -SFUR 


eljárás abban az esetben, ha 
nincs megfelelő jogosultságunk 
ahhoz, hogy nyers csomagokat 
tudjunk küldeni a hálózatra, 
illetve IPv6 hálózatok pásztá- 
zásakor. A Connect() rendszer- 
hívást használva teljes kapcso- 
latot épít fel az ellenőrizni kí- 
vánt géppel, ezáltal könnyebb 
felfedezni. 

-su (UDP scan): Annak ellené- 
re, hogy a legnépszerűbb háló- 
zati szolgáltatások TCP proto- 
kollt használnak, az UDP-t 
használó programok közül is 
akad néhány híresebb. Ilyen 
például a DNS, a DHCP, 
SNMP. Úgy működik, hogy 
küld egy üres UDP fejlécet 

a célportra, és a válaszból 
következtet a port állapotára. 
Működik a ICP pásztázások- 
kal együtt. 

-sF (ICP EIN scan): A FIN 

bit van beállítva a csomagban, 
vagyis a kapcsolat lezárását jelzi 
a célgépnek. 


a különbséggel, hogy a nyitott 
és a zárt kapukat képes meg- 
különböztetni egymástól. 


e --scanflags: Mi adhatjuk meg, 
hogy milyen jelzőbiteket szeret- 


nénk beállítani a pásztázáshoz 
használt csomagokban. 

Az URG, ACK, PSH, RST, SYN, 
és FIN jelzőbitek használata 

a megengedett. 


-p cport tartománysz: 


Csak bizonyos portok vizsgálata. 


Megadhatunk konkrét port- 
számokat, de tartományokat is. 
Ezen kívül szűkíthetjük a vizs- 
gálatot TCP vagy UDP kapuk 
szerint is. 

A TCP portok 21-től 80-ig, míg az 
UDP kapuk közül csak az 53-as 
ellenőrzése: -p T:21-80,U:53. 
-F (Fast (limited port) scan): 
Gyorsabb ellenőrzés azáltal, 
hogy az nmap csak azon kapukat 
vizsgálja, melyek szerepelnek az 
nmap-services fájlban. 


-p 20 25,53.68. 110 140 "kcs 


Starting Nmap 4.20 
( http://insecure.org ) at 
2006-12-28 18:26 CET 

Interesting ports on lcs 
CSZ SS ete 

Not shown: 71 closed ports 


PORT STATE  " SERVICE VERSION 


21/tcp openl]filtered ftp 

22/tcp openl]filtered ssh 

25/tcp openl]filtered smtp 

139/tcp open] filtered 
netbios-ssn 

68/udp openl]filtered dhcpc 

137/udp open] filtered 
netbios-ns 

138/udp open] filtered 
netbios-dgm 


Nmap finished: 1 IP address 
(1 host up) scanned in 
4.865 seconds 

csabadlcs:-$ 


e -SN (ICP Null scan): Jelö- 
letlen TCP csomagot küld 
a célkapura. 

e -sXx(Xmas scan): A FIN, PSH, 
URG jelzőbitek vannak beállítva 
a pásztázáshoz használt csoma- 
gokban. 


KN JG KKK, I NM ON 
3. Lista A szolgáltatások verzióinak kiderítése 
csabaGlcs:-$ sudo nmap -SSURV -PO -T5 lcs 
Starting Nmap 4.20 ( http://insecure.org ) at 2006-12-28 18:33 CET 


Interesting ports on lcs (192.168.1.1 : 
Not shown: 3177 closed ports 


Ez az utóbbi három pásztázási mód- 
szer ugyanarra az RFC 793-ban leírt 


eljárásra támaszkodik, amelynek lé- PORT STATE SERVICE VERSION 
nyege, hogy a zárt portok RST választ 21/tcp open ftp ProFTPD 1.3.0 
küldenek, míg a nyitott portok eldob- 22/tcp open ssh OpenSSH 4.3p2 Debian Subuntul 
ják a küldött csomagot. (protocol 2.0) 
25/tcp open smtp Postfix smtpd 


e -sA (ICP ACK scan): Arra való, 139/tcp open netbios-ssn Samba smbd 3.X (workgroup: MSHOME) 
hogy feltérképezzük egy adott 445/tcp open netbios-ssn Samba smbd 3.X (workgroup: MSHOME) 
tűzfal szabályait. Ez a gyakor- 68/udp  openl dhcpc 
latban úgy néz ki, hogy ha tűz- filtered 
fallal nem védett portokat pász- 137/udp. open netbios-ns — Microsoft Windows XP netbios-ssn 
tázunk, a nyitott és a zárt ka- 138/udp openl]filtered netbios-dgm 
puk is RST csomaggal válaszol- Service Info: Host: 1lcs; OSS: Unix, Linux, Windows 
nak, amit az nmap a nem szűrt 
(unfiltered) csoportba sorol, 
függetlenül attól, hogy nyitott 
vagy zárt kapuról van szó. 
Azonban a tűzfallal védett 
portok vagy nem, vagy ICMP 


Service detection performed. Please report any incorrect results 
at http://insecure.org/nmap/submit/ . 

Nmap finished: 1 IP address (1 host up) scanned in 51.379 seconds 

csabadlcs:-$ 








Verzióinformációk 

Ahogyan azt már említettem a cikk 
elején, attól függetlenül, hogy létezik 
egy szabvány arra vonatkozóan, me- 
lyik számú TCP illetve UDP kapun 
milyen szolgáltatás figyel, még nincs 
rá garancia, hogy a vizsgált számítógé- 
pen is hasonló a helyzet. Egy sima 
pásztázással csak annyit tudhatunk 
meg, hogy az adott kapu nyitva van-e 
vagy sem, de a mögötte lévő szolgálta- 
tás rejtve marad. 

Ehhez nyújt segítséget az nmap -sv 
kapcsolója, amely a szolgáltatások ne- 
vét és verziószámát hivatott kifürkész- 
ni. Itt említhető meg a -sR kapcsoló is, 
aminek a segítségével az úgynevezett 
RPC portok és a szolgáltatásaik ver- 
ziószáma tudható meg. Ez a kapcsoló 
is használható együtt a ICP és UDP 
pásztázásokkal. 


Az operációs rendszer felderítése 
Az nmap az alapján, hogy a célgép bi- 
zonyos csomagokra milyen válaszcso- 
magot (ujjlenyomatot) generál, képes 
megállapítani az adott gépen futó ope- 
rációs rendszer típusát, a kernelverzió 
számát, valamint az üzemidőt. lalán 
nem kell túlzottan részleteznem, 
mennyire megkönnyítheti egy támadó 





dolgát, ha tudja, milyen operációs 
rendszerrel van dolga. Ehhez mind- 
össze egy nyitott és egy zárt kapura 
van szüksége a célrendszeren. 

Az ehhez használt kapcsoló a -o. 
Ilyenkor a folyamat a második gene- 
rációs felderítéssel kezdődik, majd 
annak sikertelensége esetén az első 
generációs is lefut. Kérhetjük a prog- 
ramot, hogy kifejezetten csak első 
vagy második generációs felderítést 
használjon. Erre valók az -01 illetve 
az -02 kapcsolók. 

Előfordulhat, hogy az nmap nem tud- 
ja megállapítani a használt operációs 
rendszer típusát, ilyenkor a beér- 
kezett ujjlenyomatot jeleníti meg 

a képernyőn. Ha segíteni akarjuk 
Fjodor fejlesztői munkáját, 
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oldalon elküldhetjük ezt az ujjlenyo- 
matot a pásztázott rendszer pontos 
paramétereivel együtt. 


Kimenet és egyéb érdekességek 
Előfordulhat, hogy a pásztázás 
eredményét a későbbiekben még látni 
szeretnénk, ha másért nem, a rend- 
szerbiztonság megerősítése utáni 
összehasonlítás végett. Ezen kívül 


ebbe a bekezdésbe kerültek azok 


a kapcsolók, melyek hasznosak, 
de nem tartoznak szervesen egyik 
tárgyalt témához sem. 


e -ON cfájlnév:z: A kimenet egy 
egyszerű szövegfájlba történő 
mentése. 

e -oX cfájlnévz: A kimenetet XML 
formátumba menti. 

e —--append-output cfájlnévz: 

A fájlt nem írja felül, hanem 
hozzátűzi az újabb kimenetet. 

e — -v: Verbose, azaz beszédes kimene- 
tet biztosít. Kétszeri ismétlésére az 
nmap további részleteket árul el. 

e  -Tc0-5z: A kapcsoló és a mögötte 
álló szám segítségével közölhetjük 
a programmal, milyen időközön- 
ként küldjön csomagokat a cél- 
gépnek. A 0 érték jelenti a legna- 
gyobb időközt, ami 15 perc min- 
den elküldött csomag után, míg 
az 5 a legkisebbet, ami 5ms vára- 
kozási időt jelent. IDS rendszerek 
ellen a 0 és az 1 érték a javasolt, 
míg a hétköznapokban a 4 tűnik 
jó választásnak. 

e -D ccsaléteki, csalétek2, 
csalétek3. . .3: A célgép szemszö- 
géből úgy látszik, mintha a csalétek 
gépek pásztáznák a portjait. 

e — -6: ÍPpv6 protokoll használata. Csak 
a Ping scan (-sP), ICP Connect() 
scan (-sT) és List scan (-sL) esetén 
működik. 

e  -A: Operációs rendszer detektálás 
és verzióinformációk lekérése. 
Ugyanaz, mint a -sV -O páros. 
Fjodor a későbbiekben tervezi 
ennek a kapcsolónak a további 
szolgáltatásokkal történő bővítését, 
azért, hogy a felhasználóknak 
ne kelljen annyi kapcsolót meg- 
jegyezniük. 


Összegzés 

Az nmap további, olykor megdöbbentő 
képességeinek felfedezését már 

az Olvasóra bízom. Remélem a fentiek- 
ből remekül kitűnt az az összetettség és 
rugalmasság, amit az nnap kapupász- 
tázó program magában hordoz, és ami- 
vel elősegíti számítógépeink hálózati 
biztonságának megerősítését. Forgas- 
suk nagy haszonnal és megelégedéssel, 
de ne feledjük, csak jó célra! 











Miután meggyőztük 
kedvenc Titkárnőnket, 
miszerint a Linux és az 
Openoffice sokkal Jobb 
— sőt fel Is telepítettük 
neki -, nem árt ajánlani 
valamit a Passziánsz 
helyett, amivel a kávé- 
szünetet eltöltheti. 


oha a játék távolkeleti erede- 
tű, a számítógépes Mahjongg 
szabályok nem egyeznek tel- 
jesen az eredetivel. (Az eredeti játék- 
szabályokról a Wikipediaban olvashat 
a kedves Olvasó.) Maga a Mahjongg 
legalább annyira izgalmas játék, mint 
Windows alatt a Passziánsz. Sőt még 
izgalmasabb, ugyanis sokkal több 
döntési lehetőség van, és előfordul, 
hogy több döntési lehetőséggel is 
megnyerhetjük a játékot, vagy a játék 
közepén hozott, akkor jónak tűnő, de 
rossz döntés okoz a legvégén bukást. 





Cél, szabályok 

A játék célja: levenni az összes kockát 
a játéktábláról. Ez pár egyszerű sza- 
bály észben tartásával hajtható végre, 
ha szerencsénk és jó taktikai érzékünk 
van. Egy kocka csak akkor vehető le, 
ha balról vagy jobbról nincs mellette 





másik kocka. A kockák levételéhez két 
egyforma és levehető kockát kell kije- 
lölnünk az egérrel. Ahol több kocka 
van egymáson, ott mindig csak a felső 
kockát vehetjük le. Minden kockából 
4-4 egyforma darab van, kivéve 

az évszakokat jelző kockákból, illet- 
ve az orchid, mum, bamboo, plum 
feliratúakból. 

A játék telepítése egyszerű, hiszen 

a legtöbb disztribúcióban elérhetőek 
a Mahjongg-ot (is) tartalmazó csoma- 
gok. Általában xmahjongg, gnome- 
games (Gnome verzió), illetve 
kmahjongg (KDE) név alatt találjuk 
meg őket. Noha mindegyik felkínálja 
a klasszikus elrendezésű Mahjongg- 
ot, a kmahjongg felajánl táblaszer- 
kesztőt, illetve a Gnome mahjongg-ja 
pár előre definiált alakzatot. 

Az xmahjongg kivételével mindegyik 
támogatja a kocka kinézetének 
(skinek) váltását. 


Medve Zoltán 
(e-medve(2e-medve.hu) 


2001-ben kezdett 
,Linuxolni", de már 
korábban is ismerkedett 
a szabad szoftverek világával. 

Ha éppen nem a gép előtt ül, akkor 
fotózgat, olvasgat vagy bicajozik. 


int A eg 
PIETTTE 
HIT ITELT 
ús HELTTAL; 
mEGEJKNESES HC KIC EG 


MI 1. ábra Mahjongg X alatt 


mM 3. ábra Mahjongg KDE alatt 


íg fil iti d lli Új K 1 
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W Az alacsony sávszélesség igény 
teszi számunkra érdekessé ezt a kó- 
dolási eljárást. Szerencsére Linuxon 
megjelent az x264, amely sikeres és 
hatékony nyílt forrású megvalósítása 
a H.264-nek, mely Advanced Video 
Codec (AVC) néven is ismeretes. 
Valójában az x264 projekt megnyerte 
a Doom9 2005-ös kodek tesztjét is. 
Az x264 egy jelenleg is aktív projekt, 
melyet folyamatosan fejlesztenek. 

A kiemelkedő minőségű AVC 

kodek előnyeit számtalan helyen 
élvezhetjük kezdve a házi videó- 
gyűjteményünk biztonsági máso- 
lataitól, a webes videótovábbításig, 
de érdekes lehet csupán kísérletez- 
getni a legújabb technológia nyújtot- 
ta lehetőségekkel. 

Jelen cikk célja bemutatni, hogyan 
készíthetünk egyszerű lépésekkel 
.mp4 állományt, mely H.264-es videó- 
val és AAC (Advanced Audio Codec, 
szintén MPEG szabvány része) hang- 
gal rendelkezik. Azonban egy össze- 
tett és átfogó cikk messze meghalad- 
ná a rendelkezésre álló terjedelmet, 
azonban ez remélhetőleg nem riasztja 
el az Olvasót a téma mélyebb tanul- 
mányozásától. 

Minthogy az AVC és az AAC is az 
MPEG szabvány része, így jó pár 
segédeszköz (legyen az kereskedelmi 
vagy másmilyen) támogatja ezeket. 
Például az Apple OuickTime program- 
jával is készíthetünk ilyen videókat, il- 
letve a népszerű nyílt forrású Mplayer 
is használható .mp4 fájlok lejátszására. 
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Vágjunk bele 

A célként kitűzött videófájl létrehozá- 
sához három egyszerű lépést kell vég- 
rehajtanunk: a tömörített videó létre- 
hozása, a tömörített hang létrehozása 
és végül, de nem utolsósorban a két 
fájlt egyesítenünk kell megfelelő 
módon. Ehhez az alábbi programok 
szükségesek: 


e . MPlayer (tartalmazza az mencoder-t, 
CVS verzióból 060109 vagy frissebb 
szükséges) 

e  faac 1.24 vagy frissebb 

e . MP4Box (gpac része, 0.4.0 vagy 
frissebb szükséges) 

e  x264  ((gpac támogatással fordítva) 


A célunk: létrehozni egy kis sávszéles- 
ségű videót, mely a weben könnyen 
továbbítható. Kis méretű lesz, de re- 
ményeink szerint hasonló minőségű, 
mint egy nagyobb sávszélességű 
XviD-el tömörített videó. Forrásként 
egy kilenc másodperces raw formátu- 
mú házi videót (max . dv) használunk, 
melyet a digitális videókameráról 
mentettünk le. 

Kezdjük a hanggal, mely átalakítása 
igencsak egyszerű művelet. Az ötlet: 
nyers videóból kinyerhetjük 
Mplayerrel a hangot: 


mplayer -ao pcm -vc null -vo 
ssnull max.dv 


A művelet végén kapunk egy állo- 
mányt, melynek neve audi odump . wav 





lesz. A videóval egyelőre nem 
foglalkozunk. Alakítsuk át AAC 
formátumra: 


faac --mpeg-vers 4 
s audi odump . wav 


Az --mpeg-vers kapcsolóval jelez- 
hetjük az MPEG verziót. A végered- 
ményt le is ellenőrizhetjük: játsszuk 
le az audiodump . aac fájlt Mplayerrel. 
A videó tömörítésekor több megoldás 
közül választhatunk. A legjobb minő- 
ség érdekében többmenetes tömörí- 
tést kell alkalmaznunk. A videót leg- 
alább kétszer kell feldolgozni ahhoz, 
hogy a rendelkezésre álló sávszéles- 
ség optimálisan legyen elosztva 

a videón. A többmenetes tömörítéssel 
hajszálpontosan beállítható a sávszé- 
lesség és a fájlméret. Sajnos azonban 
az AVC tömörítőprogramok, mint 
amilyen az x264 is, meglehetősen 
igénybe veszik a processzort és emiatt 
hosszú a feldolgozás is. Éppen ezért 
nem várható el, hogy a többmenetes 
tömörítésre várjon az Olvasó. 
Ehelyett lehetőség van egymenetes 
tömörítésre is. Noha ez is kiváló 
minőséget ad, sose lesz olyan jó, 
mint a többmenetes. Az egymenetes 
tömörítéssel a fájlméret és a sávszéles- 
ség pontos beállításának lehetőségét 
is elvesztettük. Azonban lehetőség 
van mérlegelni, melyik a fontosabb: 

a gyorsaság vagy a minőség. 
Szerencsére az x264 kínál megfelelő 
középutat is. Egy opcióval beállítható 


a fix sávszélesség (vagy fix minőség), 
így az x264 számításba veszi a mozgal- 
mas és a kevésbé mozgalmas részek 
közötti különbséget. Minthogy az em- 
beri szem a gyors mozgásoknál nem 
képes a részletekre figyelni, így a tö- 
mörítés során a mozgalmas részeken 
nyert bitek átcsoportosíthatóak más- 
hova. Így összességében élvezetesebb 
lesz a végeredmény. Az opció alkal- 
mazásával érhető el a legjobb minőség 
anélkül, hogy az időrabló többmene- 
tes módot kellene használnunk. 
Ennek a megoldásnak azonban az ára, 
hogy nem tudjuk előre megmondani 
a végleges fájl méretét és sávszélessé- 
gét. lermészetesen kétmenetes mód- 
ban ez továbbra is lehetséges, de ezzel 
megduplázzuk a feldolgozáshoz szük- 
séges időt. A példánkban tehát marad- 
junk az egymenetes feldolgozásnál, 
azonban állítsuk be a Constant Rate 
Factor (--crf) lehetőséget a megfelelő 
minőségért. 18 és 26 közötti Constant 
Rate Factor érték már általában megfe- 
lelő (a kisebb érték jobb minőséget, 

de nagyobb fájlt eredményez). 

A megfelelő érték természetesen 

függ a kívánt mérettől, minőségtől 

és a rendelkezésre álló időtől. Több- 
menetes tömörítés esetén azonban 
nagyobb szabadságot kapunk. 

Az x264 csak nyers YUV 4:2:0 bemene- 
tet fogad, ehhez egyszerűen irányít- 
suk az mencoder kimenetét az x264 
bemenetére egy egyszerű csővezeték- 


kel (pipe): 


mkfifo tmp.fifo.yuv 
mencoder -vf format-1420 
s -nosound -ovc raw -of 
s rawvideo NN 
-ofps 23.976 -o 
—tmp.fifo.yuv max.dv 
2581 5 /dev/null € 
x264 -o max-video.mp4 --fps 
—723.976 --crf 26 --progress NM 
tmp.fifo.yuv 720x480 
rm tmp.fifo.yuv 


Amint látható, meg kell adnunk, 
hogy hány képkockát szeretnénk egy 
másodperc alatt lejátszani (--fps), 
ugyanis az x264 nem fogja magától 
kitalálni. Ugyanígy meg kell adnunk 
a videó felbontását is. Jelen példánk- 
ban az x264 alapértelmezett beállí- 
tásaival tömörítettünk, ami elég 

jó minőséget ad, azonban tovább 
finomíthatunk rajta. Jelen esetben 


kicsit módosítva a tömörítési stratégi- 
át, javíthatunk a dolgon anélkül, 
hogy ez lényegesen több időt venne 
igénybe. Az x264 rengeteg paramé- 
terrel bír, mellyel tovább javíthatunk 
a minőségen ilyen vagy olyan mó- 
don. lermészetesen némely opció 
alkalmazása költségesebb, időigé- 
nyesebb, mint másoké. Végül pedig 
pár opció alkalmazásával elfordulhat 
az is, hogy bizonyos lejátszók nem 
fogják tudni lejátszani a videót, 
nevezetes például a OwickTime. 

A kompatibilitás érdekében ezeket 
tartsuk szem előtt. 


OuickTime és a H.264 

A OuickTime 7-es verziója már támo- 
gatja a H.264-es videókat. Az Apple az 
interneten elérhető mozielőzeteseket 
például már H.264 szerint tömöríti. 
Noha ez jó, és elősegíti a kodek terje- 
dését, pár korlát is került a OuickTime 
megvalósításába, melyek közül 
legjelentősebb a B-képkockákkal 
(B-Frames) és a Profil támogatással 
kapcsolatos. leszünk egy rövid kitérőt, 
hogy lássa az Olvasó, mit is jelent 

ez számunkra. 

A H.264 többféle profillal rendelkezik, 
ilyen a Baseline, a Main, az Extended 
és a High. Ezek a profilok leírják, 
hogy az adott videó lejátszásához 
milyen képességek szükségesek a le- 
játszó részéről. Ahogy az sejthető, 

a Baseline a legegyszerűbb profil, 

míg a Main, az Extended és a High 
több számítási kapacitást igényel és 
technológiailag is bonyolultabb leját- 
szani. A OuickTime 7 csak a Baseline-t 
támogatja teljesen, illetve a Main-t 
részben, az Extended-del és a High-al 
nem foglalkozik. 

A B képkocka (B-Frames) egy megol- 
dás a videók tárolására. Az ilyen kép- 
kockák dekódolásánál létfontosságú 

a korábbi képkockák hibátlan dekó- 
dolása. B képkockákat (B-Frames) más 
képkockákkal fésülnek össze (a B kép- 
kockák csupán a változásokat tárol- 
ják), ilyenek például az I (I-Frames) 

és a P képkockák (P-Frames). lechnikai 
részlet, de a OuickTime 7-ben alkalma- 
zott H.264 megvalósítás csupán 2 da- 
rab B képkockát enged. Ez nem túl 

jó, hiszen több B képkocka alkalmazá- 
sával bizonyos körülmények között 
javítható a képminőség. 

Ezt a korlátozást tartsuk észben, 
hogy OuickTime kompatibilis marad- 





jon a videónk. Ez a korlátozás termé- 
szetesen nincs jelentős kihatással 

a végeredményre. Pár opcióval to- 
vább javíthatunk a dolgon. Ilyen 
például a pixel elmozdulás becslési 
pontossága (--subme), mellyel beál- 
lítható, mennyire legyen pontos pixel 
elmozdulásának becslése x264-es 
tömörítés közben. Ezt a 6-os maxi- 
mumra állítva lényegesen szebb 
végeredményt kapunk, és noha 
hosszabb lesz a tömörítés, megéri 

a többlet idő. A minőség javítása ér- 
dekében azt is megadhatjuk, hogy az 
x264 hogyan elemezze a képkockákat 
(--analyse). Jegyezzük meg: van 
olyan mód, amely csak High profil 
esetén érhető el - ilyen például a 8x8 
DCT - , így erről le kell mondanunk 
a OuickTime kompatibilitás érdeké- 
ben. A PSNR kikapcsolásával gyorsít- 
hatunk a tömörítésen (--no-psnr) 
anélkül, hogy bármi különbség 
látszana a videónkon. 

Mindent összevetve most már min- 
dent tudunk ahhoz, hogy létrehoz- 
zunk jó minőségű, kis sávszélességű 
Ouicktime kompatibilis H.264 kódo- 
lású videót: 


mkfifo tmp.fifo.yuv 

mencoder -vf format-1420 

s -nosound -ovc raw -of NN 
rawvideo -ofps 23.976 -o 
a tmp.TfIFo.yuv NM 
max.dv 2581 5 /dev/null € 

x264 -o max-video.mp4 --fps 

323.976 --bframes 2 NM 
--progress --cerf 26 
s.-subme 6 --analyse NM 
p8x8 , b8x8 , 14x4 , p4x4 
53.--no-psnr tmp.fifo.yuv 
s 720x480 

rm tmp.fifo.yuv 


lovább finomíthatjuk a végered- 
ményt. Minthogy a webre szánjuk 
a videónkat, így például nem 
hátrány ha kisebbre vesszük a kép- 
kockákat és levágjuk a nem kívánt 
részeket. A képkocka átméretezése 
például az alábbi paranccsal valósít- 
ható meg: 


mkfifo tmp.fifo.yuv 

mencoder -vf scale-480: 320, 

3 format—-1420 -nosound -ovcC N 
raw -of rawvideo -ofps 
23.976 -o tmp.fifo.yuv NN 
max.dv 2581 5 /dev/null €g 


1 


m 3. ábra x264 


Fájl Fájl méret 


x264 -o max-video.mp4 --fps 

23.976 --bframes 2 XN 
--progress --crf 26 
s5.--subme 6 --analyse NM 
p8x8 , b8x8, 14x4 , p4x4 

53.--no-psnr tmp.fifo.yuv 

— 480x320 

rm tmp.fifo.yuv 


Az mencoder 480x320 képpont felbontá- 
sú videót készít, így az x264-nek is meg 
kell adnunk a helyes méretet. Ez a mű- 
velet csökkentette a videó méretét, 
mely a gyorsabb letöltés miatt előny. 
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Sávszélesség 


Az .mp4 formátum (melyhez alapul 
a OuickTime szolgált) többféle mé- 
diatformátumot (hang, videó) tárol- 
hat, így ideális számunkra a H.264-es 
videó és AAC hang tárolására is. 

Az MP4Box segítségével — mely 

a gpac projekt része - a korábbi- 
akban elkészített két állományt 
egyesíthetjük: 


MP4ABox -add max-video.mp4 -add 
5 audiodump.aacN 
-fps 23.976 max-x264.mp4 





Létrehoztuk a végleges max- 
x264.mp4 állományt, melyet le 

is játszhatunk Mplayerrel, vagy 
nem linuxos gépeken az Apple 
OuickTime lejátszójával. A videónk 
weboldalba is beilleszthető. 

Ezt például Linux alatt Firefoxból 

a telepített mplayer-plugin segít- 
ségével tekinthetjük meg. 
Összehasonlítás végett az állományok 
méretei és sávszélességei nyers DV, 
a tárgyalt H.264 és az alábbi parancs- 
sor generálta XviD szerint: 


mencoder max.dv -vf 

— scale-480:320 -ovc xvid 

5 -xvidencopts NM 
fixed guant—7:agpel : nopacked 
3 -oac mp3lame NM 
-ofps 24000/1001 -o max- 
—xvid.avi 


És minden videóból egy-egy 
képkocka: 1-3. ábra. 


4. ábra XviD részletek 


Ahogy látható, a H.264 éppolyan jó mi- 
nőséget nyújt, mint az XviD (talán job- 
bat is), de mindezt kisebb sávszélesség 
igény és méret mellett. Belátható, hogy 
ugyanolyan minőséghez kisebb tárhely 
is elég, vagy ugyanakkora tárhelyen 
jobb minőséget érhetünk el. Emellett 

a munkamenet és a beállítások hason- 
lóak az XviD-hez, viszont jobb minősé- 
get ad a H.264. lehát ha már tömörített 
az Olvasó XviD-del, az x264 se fog 
meglepetést okozni. 

Minél többet kísérletezik az ember az 
x264-el, annál jobban elcsodálkozik, 
mekkora megtakarítás érhető el 


5. ábra x264 részletek 


a minőség megtartása mellett. A vi- 
deó tömörítés kétségkívül egyfajta 
varázslat, hiszen több száz opció 
sokféle értéke befolyásolja a végered- 
ményt. A videótömörítéshez nincs 
általánosan használható eljárás vagy 
ajánlott paraméterek, minden videó 
más és más. A H.264 technológiai 
fölénye az XviD-el vagy MPEG2-vel 
szemben elég jelentős ahhoz, hogy 
figyelmen kívül hagyjuk. Már ma 
élvezhetjük az előnyeit. lekintve, 
hogy a H.264 kodek MPEG szab- 
vány, így a befektetett munka vég- 
eredménye időtálló és jó minőségű 





lesz. Jelen cikk talán segített rávi- 
lágítani arra, miért lesz a jövő 
tömörítési formátuma a H.264. 


Linux Journal 2006., 150. szám 


Dave Berton profi programozó, 
a moseyOfreeshell.org címen érhető el. 
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Neverball - Ahol golyó még sosem járt 


Ritkán ejtek szót hamisítatlan ügyességi játékokról. Most pótolom a hiányos- 
ságot: rögtön egy olyan darab következik, mely egyszerre klasszikus és különc. 





8 bites korszak" derekán 
találkoztam először olyan 
ügyességi játékokkal, ahol 


a , főszereplő" egy labda volt, melyet 
adott időn belül el kellett juttatni 

ba. Ebben az időben - a nyolcvanas 
évek végén - két elképzelésen alapult 
e kategória: akadt olyan játékprogram, 
ahol a gép (jellemzően a felhasználó 
felé) görgette a szabálytalanul kilyug- 
gatott talajt, a játékos pedig a golyót 
mozgatta jobbra-balra. A másik ötlet 
szerint a terepet mozgatta az érdeklő- 
dő, ennek megfelelően gurultak az 
azon lévő labdák. Személyesen az első 
megoldást jobban szerettem, viszont 
ez a stílus az idők folyamán sajnos 
teljesen elhalt. A másik elképzelés 
viszont él és virul, egyik jeles képvise- 
lője GPL licencű forráskóddal rendel- 
kezik. A Neverball névre keresztelt 
Szabad projekt naprakész, kihívó 

és szórakoztató. 


Miről is van szó? 

Dióhéjban arról, hogy a terepet min- 
den irányban megdönthetjük, az arra 
helyezett golyó pedig a dőlésnek 
megfelelően kezd gurulni. A feladat 

a következő: a labda mozgását úgy 
kell koordinálni, hogy ne essen le 

a terepről, eközben megszabott 
mennyiségű zsetont kell begyűjteni 

a pályáról — úgy, hogy adott időn be- 
lül elérjük a kijáratot. Elsőre talán nem 
hangzik túl bonyolultnak a kombiná- 
ció, a gyakorlati tapasztalat azonban 
teljesen ellentmond minden lenéző 
legyintésnek... A Neverball komoly ki- 


mi 2. ábra A feladat igen összetett 





hívást jelent, a nyomasztó nehézségét — A telepítés neverball címre! Töltsük le 
Hi pedig a naprakész 3D grafikai leképe- — A forráskódot az Icculus csapatának neverball verzió.tar.gz csomagot, 
E zése, valamint az élethűnek mondha- honlapjáról indulva lehet elérni: majd a kicsomagolt archívban adjuk 
e tó fizikája próbálja ellensúlyozni. látogassunk el a 3 Http://icculus.org/ ki root jogkörrel a make parancsot. 
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Ha a fő függésekkel rendelkezünk 
(IibBSDL, SDLImage, SDL mixer, 

SDL ttf, IibGL, IibPNG), akkor rövi- 
desen felépül az ELF bináris. A teljes 
forrás mappát másoljuk egy mindenki 
által elérhető területre, a létrejött 
indítható fájlt pedig linkeljük ki 

egy elérési útra neverball néven. 

Ha mindennel végeztünk, felhasz- 
nálóként kiadott 


neverball 
parancsra lehet a játékba lépni. 


A teljesített pályák szerencsére meg 
vannak jelölve a /home/$/.neverball 


úton (egy speciális fájlban), így adott 
felhasználónak nem kell mindig elöl- 
ről kezdeni a próbákat. leszem azt, 
bárki nyithat a tizedik pályán - felté- 
ve, hogy valamikor már teljesítette 

az előző kilencet. Szükség is van erre, 
hiszen a három nehézségi fokozatra 
osztott szintek 75 terepet biztosítanak: 
, fél délelőtt" sem elég a teljes végig- 
játszáshoz. 


Először is a kamera mozgatása érde- 
mel néhány szót. Az aktív nézőpont- 
változtatás kissé nehezen szokható 
meg, segítségképpen az automatika 
az ,F3" billentyűvel kézi rögzítéssel 
leállítható. Ehhez viszont nagy rutinra 
van szükség, mivel a talajt mozgatni 
és a kameraállást egy időben kezelni 
(az egérgombokkal) nem könnyű 
feladat. lehát marad az automatika 
megszokása... 

A továbbjutáshoz szükséges pon- 
tok száma a jobb alsó sarokban 

van kijelezve. A pályán található 
zsetonok közül a sárgák egyet, 

a pirosak négyet, a kékek pedig 
tízet érnek: érdemes megbarátkozni 
ezekkel a számokkal, és kezdetben 





csak az értékesebbeket összegyűj- 
teni. A szükséges mennyiség el- 
érését egy csilingelő hang jelzi, 
ekkor indulhatunk a kijárat felé. 
Amennyiben képesek vagyunk 
összegyűjteni száz zsetont, úgy aján- 
dék élethez juthatunk! A terepen 
gyakran , kapcsolók" is találhatóak: 
ezek az érintési pontok felelnek 

a mozgó pályaelemek aktiválásáért 
(például liftek, csúszó felületek 

és teleportok). 

Ha valaki úgy érezné, hogy neki 
már nem kihívás a Neverball, akkor 
javaslok egy házi bajnokságot ren- 
dezni a projekt köré. Amennyiben 
nincs erre lehetőség, akkor sem 
nagy a baj, hiszen bármely teljesített 
feladatot rögzíteni lehet a , Replay" 
menüt használva - így a kételkedők 
is megbizonyosodhatnak a büszke 
játékos teljesítményéről. 

Jó ,gurigázást ! 


Kovács Zsolt (koviolinuxforum.hu) 
Ouake fanatikus. Négy éve a debre- 


ceni linuxosok egyike. löretlenül hisz 
a Slackware terjesztésben. 
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W A The Times jelentette meg elsőként 
2004. november 12-én újságban a rejt- 
vényrovatban. Annyira megtetszett az 
olvasóknak, hogy 2005 nyarára a leg- 
jelentősebb amerikai napilapok is meg- 
jelentették a saját bűvös négyzeteiket. 
2005. októberében pedig az első baj- 
nokságot is megrendezték Angliában. 


Szabályok 

Töltsünk fel egy 9x9-es négyzethálót 
az 1-9 számjegyekkel úgy, hogy 
minden sorban és oszlopban illetve 
minden 3x3-as zónában a számok 
csak egyszer szerepeljenek. 


KSudoku 


Mivel rendszeresen megfejtem 

a Metroban megjelenő Sudokukat, na- 
gyon megörültem annak, hogy a KDE 
oldalán ráleltem erre a gyöngyszemre. 
A program indításánál kell eldönte- 
nünk, hogy milyen bűvös négyzetet 
szeretnénk kitölteni. 

Kiválaszthatjuk a nehézségi szintet, 

a szimmetriát, és a négyzet nagyságát, 
ami 3x3 - 5x5 lehet. Megjelentethetjük 
2D-s vagy 3D-s formában. Miután be- 
állítottunk mindent, el kell készíttetni 
az új táblát. Kezdőknek ajánlatos 3x3- 
as táblát választaniuk. Haladók már 
próbálkozhatnak a 4x4 vagy 5x5 táblák 
kitöltésével is. 

Egy 5x5 tábla elkészítése 3D-s meg- 
jelenítéssel eltarthat egy darabig, de 
megéri elkészíteni legalább egyszer, 
még ha nem is tudunk vele játszani, 
mert a látvány elképesztő. 
Színösszeállítása teszi tetszetőssé, 
viszont a pasztellszíneinek köszönhe- 
tően a szemünk sem fárad el olyan 
könnyen. Könnyű kezelhetősége csak 


I Dimensions 
a2D (Sudoku) 
c 3D!!! (Roxdoku) 








[rDifficulty 


€ Easy §, Random 





rSimmetry 


0 Medium ca None 
c Hard c Diagonal 


eiHardest; c Central 








c 4-way 














( Generate new puzzle ) Rip puzzle Cancel 
[/ 





File Actions Options Select Number Web Settings Help 
Bs édes  GiveHint! Solve! Check 


OKANON AM JAKRYN E 











- Selected item /, Time elapsed O0:29. Type in a cell (zero to delete) to place that number in it. 


ráadás. Automatikusan kijelölődik 

a sor, az oszlop, és a 3x3-as zóna. Bevi- 
telre számos lehetőségünk van. Vagy 
a sor és oszlop metszéspontjába írjuk 
be a számjegyet, vagy a bal oldalon 
lévő illetve a már beírt számok közül 
kiválasztunk egyet és egérrel visszük 
be a táblába a számokat. Ha egy 





számot rossz helyre írjunk be, akkor 
a színe pirosra vált, ami nagyban 
megkönnyíti a tábla kitöltését. 


Egyéb lehetőségek 

A KDE oldalán találunk még egy 
Sudoku programot, (Su-per-Doku) 
igaz superkaramba témaként. 


védet] 


File Actions Options Select Number Web Settings Help 


Give Hint! Solve! Check 


a 
o 


DO NAN BRBWONKRNE 


ply td -t 
Selected item 1, Time elapsed 1:01. Press SHIFT to highlight. 





Szerencsére még a superkarambát 
sem kell letöltenünk és feltelepíte- 
nünk abban az esetben, ha a rendsze- 
rünkön már legalább KDE 3.5.0-van, 
ugyanis ettől a verziótól része 

a superkaramba a KDE-nek. 

A másik lehetőség az on-line 

játék (lásd a kapcsolódó címeket). 
Szintén érdekes lehetőség a nyom- 
tatott forma. Léteznek Sudoku kiad- 
ványok, illetve napilapokban keres- 
hetjük őket. Ha agyilag le vagyok 
strapálva, nagyon jó kikapcsolódást 2 www.chevrolet.hu 
tud nyújtani. 





2 www.websudoku.com, 2 www.Jjigsawdoku.com, 2 www.su-do-ku. org, 
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